セキュリティ事故に備える「CSIRT」構築術

インシデント対応ってムズカシイ? NISSAY IT CSIRTの経験に学ぶヒント企業CSIRTの最前線(2/3 ページ)

» 2015年11月16日 10時30分 公開
[國谷武史ITmedia]

感染端末を特定するということ

 シナリオ(2)「マルウェア感染端末の特定」は、(1)の外部通報を受けて社内に潜入したマルウェアに感染している端末を探し出す作業だが、特定していくこと自体は様々なログを調べるといった作業によって、それほど難しいものではないという。小澤氏が挙げる重要なポイントは、特定のための作業が必要になった状況を理解することだ。

 前項でも触れたように、外部通報でインシデントの可能性を把握したということは、導入済みのセキュリティシステムではインシデントにつながる脅威を検知できなかったという事実がある。さらに、組織内部から外部への不審な通信の痕跡が認められたとしたら、組織内に潜入したマルウェアなどが外部にいる攻撃者のコマンド&コントロール(C&C)サーバとつながっている可能性を意味する。

 「不審な通信が見つかれば、当該IPアドレスとの通信をファイアウォールで遮断するなどの措置が取られるが、この時点で既に組織内の重要な情報が盗み取られている可能性もある」(小澤氏)

 既存のセキュリティシステムでは脅威の侵入を検知できないとすれば、検知や防御の仕組みを見直したり、増やしたりすることでセキュリティシステムを強化する必要があるかもしれない。こうした対策手法は「多層防御」と呼ばれる。

 「最近では新たな対策技術として、例えばサンドボックスなども注目されているが、脅威を検知してもリアルタイムに防御できないことがある。新たな対策技術は『魔法の箱』ではないので、多層的に講じている防御手段の1つと考え、やはりベーシックな部分から適切な対策を講じることが大事だ」(小澤氏)

 現在主流の標的型攻撃対策は、サンドボックス型アプライアンスなどネットワークで講じるものが多いが、情報漏えいなどの被害を防ぐ“最後の防御ライン”は、従業員のPCやサーバといったエンドポイントになる。

 エンドポイント向けの対策では従来の定義ファイルを使うウイルス対策機能だけでなく、ほかの検出技術を併用して未知のマルウェアを防御するなどの“次世代型”が登場しており、小澤氏も次世代型のエンドポイントセキュリティ製品に期待を寄せる。なお、エンドポイントでのセキュリティ対策は一律的に講じるより、優先順位を決めたり、場所によって対策内容を変えたりすることがポイントだという。

CSIRT 「NISSAY IT CSIRT」の活動概要(日本シーサート協議会の紹介ページより)

端末を特定したら

 シナリオ(3)の「感染端末特定後の行動」は、インシデントの分析や調査など、慎重な作業が求められる段階だ。小澤氏も、「ネットワークから感染端末を分離することはいいとしても、いきなりウイルススキャンを実行するような対処は間違い。マルウェアの痕跡が消えてしまう」と解説する。

 インシデントの状況を調査するには、まず感染端末をそのままの状態で証拠として保全し、端末の内部でマルウェアがどのように動作したのかといった点を詳細に分析していく。この作業には非常に高度な技術が必要で、外部の専門機関に委ねるケースがほとんどだ。

 ここでのポイントに小澤氏が挙げるのは、インシデントの調査や分析にどの程度CSIRTが関わるのかという判断をしておくこと。調査や分析が難しいと、外部機関にすべての作業を丸投げしてしまうことは避けるべきと話す。

 「迅速に対応していくにはCSIRTとして意思決定をできることが大切。外部での分析や調査にはある程度時間がかかることもあり、例えば限定的な範囲でもいいので、調査や分析を自分たちで実施できるよう検討してみるべきだろう」(小澤氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ