このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
インシデント対応体制の整備方法
情報化社会の発展に伴い、我々の業務環境は大きく変わり、今やインターネットなしでは我々の業務が成り立たなくなっていますが、便利で効率的になった反面、ネットワーク経由での外部からの侵入リスクも増加しており、いつ、情報セキュリティインシデントが発生しても不思議ではない状況にあります。勿論、我々の職場では、攻撃者の侵入を許さないよう、水際対策として様々なセキュリティ対策を行っていますが、電子メールやウェブサイトの閲覧などをとおしてインターネットとの通信が発生する以上、100%攻撃者の侵入を防ぐことは困難であると言わざるを得ません。攻撃者が侵入しないような対策は勿論のこと、侵入されたら終わりということではなく、外部からの侵入はあるものとして、侵入後にその活動をいかに早く発見し、被害をいかに最小限に抑え、復旧をいかに早くできるかに、今は対策の重点が置かれています。そこで求められるのが、インデントレスポンス体制の整備ということになります。
しかし、インシデントレスポンス体制を整備しろと言われても具体的に何をすればいいのでしょうか。インシデントレスポンスの解説書等では、CSIRT( Computer Security Incident Response Team )を組成して、インシデントの発生時はCSIRTに報告し、CSIRTに情報を集中させるとともに、CSIRTが全体を指揮、管理していくという、組織上の報告管理体制を整備するということが中心に書かれており、そこまでは我々もインシデント対応手順として整備できるのですが、いざ情報セキュリティインシデントが実際に発生した場合、誰がどのように調査を開始すれば良いかもわからないのではないでしょうか。システムの運用事業者に調査を依頼しても、インシデントの調査をできる能力のあるスタッフは通常は配置しておらず、そのためのサポートも運用保守契約に入っていないのが実情ではないでしょうか。それどころか、インシデントレスポンス専門事業者に依頼して調査を開始しても、必要なログは保存していない、インシデント発生時点に取得しておくべきメモリは消えてしまった等の状況では、調査するための情報がなく、結局、多くの時間とコストをかけても何もわからないという結果に終わってしまいます。また、実際は攻撃者に侵入されて情報を窃取されてしまっているのに、監視・検知の対策が行われていないために長期間にわたって発見されないということもあります。
従って、インシデント発生時の調査に備えて、十分な調査を行えるよう、必要なログなどを取得・保存しておくなどの対策をとっておくことが必要となりますし、重要な痕跡を消してしまわないようすることも含めて、実務上どのように対応すべきかについての手順を整備することも必要となります。また、標的型攻撃などによる侵入を早期に検知できるよう、侵入後の活動を検知しやすいような仕組みを作り監視してことも必要です。
本サイトではこのような現状を踏まえ、インシデント発生に備えて、各企業、各組織がどのような技術的対策を行うべきかについて解説するとともに、インシデントが発生した際に実務面でどのように対応を行うべきかに焦点を絞って、初心者の方でもわかるように解説します。構成は以下のとおりです。
1.マルウェア侵入後の活動を防御遮断する技術的対策
2.インシデント調査を行うためのログの取得と保管
2.1保存しておくべきログの種類と対象事象
2.2各ログの保存期間
2.3ログの時刻の同期
2.4ログの保護及び保管の仕組み
3.ログ等を総合的に解析し、攻撃を早期に検知するための技術的対策
1.日常の監視・検知活動
2.インシデント毎の対応フロー
3.インシデント発見時の応急措置及び禁止措置
4.初動調査とインシデントとしての判定
5.情報の保全
6.影響範囲、感染原因調査
7.封じ込め、根絶及び復旧