企業のインシデント調査を手掛けるシマンテック サイバーセキュリティサービス インシデントレスポンス リード・インベスティゲーターの鵜沢裕一氏は、インシデント時の対応を左右するポイントを紹介した。同氏は、「平常時の準備こそが大切」を強調する。
例えば、インシデント発生時に決める対応方針は調査優先か、復旧優先かしかないといい、調査を優先すれば復旧に時間がかかる一方、復旧を優先すれば原因などの調査が難航する(作業時にマルウェア活動などの痕跡が失われる可能性がある)。復旧を優先する場合でも、システムを停止するか、停止できない場合にどうするかなどの方針を事前に決めておく必要があるとのことだ。
調査では証拠となるログが不可欠であり、収集対象のシステムやネットワーク、ユーザーの権限なども事前に検討しておく。特権ユーザーの操作ログやシステムメンテンス時のログも調査の重要な手がかかりになる。復旧作業でも、可能であればシステムを再構築すべきという。マルウェアなどの侵害範囲を全て特定して対処することは難しく、いざ復旧しても侵害が再発する可能性があるためだ。
インシデントが進行する慌ただしい状況で適切な判断を下すのは非常に難しく、判断がその結果につながるからこそ、鵜沢氏は平常時における準備の大切さを繰り返し説いた。
ファイア・アイ執行役員 マンディアント・サービス本部長のアレックス・シム氏は、マルウェアの痕跡や影響などを調べるフォレンジック解析について紹介した。マンディアントは2004年からインシデント調査を手掛けている。
フォレンジック解析は古くから行われているが1995年頃にディスクベース、2005年頃にメモリベース、2010年頃にライブレスポンス/ネットワークフォレンジックと呼ばれる手法が確立された。
それぞれの特徴は、ディスクベースでは端末のHDDを保全して内部を詳細に調べる。データの復旧や法的な証拠としては有効だが、ディスク容量の増大化によって調査に膨大な時間を要し、端末を使えない(ビジネスの中断)などのデメリットがある。メモリベースではメモリダンプからマルウェア活動などを詳しく調べる。リモートから調査でき、ビジネスの中断がないといったメリットがあるものの、ディスクベース解析の併用やメモリ容量の増大化に伴う解析の長期化というデメリットがある。ライブレスポンスではリモートから稼働中の端末のディスクやメモリを調査し、ネットワークフォレンジックではネットワークのフルパケットを解析する。大規模環境での調査に適しているが、高度な専門知識やスキルを必要とする。
シム氏によれば、国内のフォレンジック調査はディスクベースがいまも主流であり、海外に比べる20年近い開きがある。インシデントの実態が複雑化する昨今では各種の手法をうまく適用しながら調査することが重要だという。
Copyright © ITmedia, Inc. All Rights Reserved.