インシデント対応ってムズカシイ？ NISSAY IT CSIRTの経験に学ぶヒント：企業CSIRTの最前線（3/3 ページ）

[國谷武史，ITmedia]

収束と監視をどうするか

　シナリオ（4）の「収束」は、インシデント対応において最も大変な段階だという。調査や分析を徹底しても、侵入経路などを含めてインシデントの全容を確実に解明することは難しく、しかも速やかに収束に向けた作業を進めないといけない。「インデントが収束した」と正確に判断することが難しいため、一定の基準をもって判断していく。

　小澤氏は、「例えば、特定のIPアドレスへの社内からの通信を3カ月間監視して、何もなければ収束とみなすというように、スムーズに判断できるルールを設けておくことが必要になる」と解説している。

　封じ込めたはずのインシデントが再発していないか、新たなインシデントが発生していないかを把握するには、組織内にセンサの目を張り巡らせ、様々なログも頼りに監視を強化していくしかない。継続的な監視がインシデントの予防にもつながる。

インシデントの収束を見極めるのは難しいが（「FOCUS JAPAN 2015」講演資料から）

インシデントの予防もまず経験から

　しかし、インシデントの検知できめ細かく組織内を監視するには、大量のログの取得・保管が避けられない。1つの監視ポイントだけでも1日に数Gバイトものログが発生し、その日数に応じて増えていく。蓄積された膨大なログから、インシデントに関連するログデータを検索で探し出したり、複数のデータの関係性を分析したりすることも非常に手間がかってしまう。

　こうした課題に対して小澤氏は、「まずはExcelやgrepなどの身近な方法で汗をかきながら監視や分析について経験してみるべきだろう」とアドバイスする。セキュリティ関連ログの分析やレポーティングなどの機能を持つ「SIEM」製品もあるが、「SIEMの導入には要件が必要。その要件が何かは、自社で経験しておかないと分からない」という。

　また、外部のセキュリティ監視サービスを活用する手もあるが、検知されたインシデントにどう対応するのかといった主体的な判断が必要になってくる。CSIRTは決してインシデントが発生した時にだけ機能するものではなく、普段からインシデントに備えるための存在でもある。有事や平時を問わずCSIRTが適切に機能できるには主体性を持ち、自社に足りない部分を補える外部の専門機関やCSIRTとの円滑な関係を築いておくことも大切だ。

　小澤氏は、「CSIRTをつくるための特別なことは必要ない。名ばかりのCSIRTでもまずは始めてみて、レベルアップしていけることが大切。今までの取り組みの延長として、地道に、持続的に運用していただきたい」と述べている。