インシデント対応ってムズカシイ? NISSAY IT CSIRTの経験に学ぶヒント:企業CSIRTの最前線(2/3 ページ)
最初から重大インシデントに対応できるCSIRTを構築するのは非常に難しいだろう。ニッセイ情報テクノロジーの小澤氏は、「名ばかりCSIRTでもまず始めてみるべき」と話す。
感染端末を特定するということ
シナリオ(2)「マルウェア感染端末の特定」は、(1)の外部通報を受けて社内に潜入したマルウェアに感染している端末を探し出す作業だが、特定していくこと自体は様々なログを調べるといった作業によって、それほど難しいものではないという。小澤氏が挙げる重要なポイントは、特定のための作業が必要になった状況を理解することだ。
前項でも触れたように、外部通報でインシデントの可能性を把握したということは、導入済みのセキュリティシステムではインシデントにつながる脅威を検知できなかったという事実がある。さらに、組織内部から外部への不審な通信の痕跡が認められたとしたら、組織内に潜入したマルウェアなどが外部にいる攻撃者のコマンド&コントロール(C&C)サーバとつながっている可能性を意味する。
「不審な通信が見つかれば、当該IPアドレスとの通信をファイアウォールで遮断するなどの措置が取られるが、この時点で既に組織内の重要な情報が盗み取られている可能性もある」(小澤氏)
既存のセキュリティシステムでは脅威の侵入を検知できないとすれば、検知や防御の仕組みを見直したり、増やしたりすることでセキュリティシステムを強化する必要があるかもしれない。こうした対策手法は「多層防御」と呼ばれる。
「最近では新たな対策技術として、例えばサンドボックスなども注目されているが、脅威を検知してもリアルタイムに防御できないことがある。新たな対策技術は『魔法の箱』ではないので、多層的に講じている防御手段の1つと考え、やはりベーシックな部分から適切な対策を講じることが大事だ」(小澤氏)
現在主流の標的型攻撃対策は、サンドボックス型アプライアンスなどネットワークで講じるものが多いが、情報漏えいなどの被害を防ぐ“最後の防御ライン”は、従業員のPCやサーバといったエンドポイントになる。
エンドポイント向けの対策では従来の定義ファイルを使うウイルス対策機能だけでなく、ほかの検出技術を併用して未知のマルウェアを防御するなどの“次世代型”が登場しており、小澤氏も次世代型のエンドポイントセキュリティ製品に期待を寄せる。なお、エンドポイントでのセキュリティ対策は一律的に講じるより、優先順位を決めたり、場所によって対策内容を変えたりすることがポイントだという。
端末を特定したら
シナリオ(3)の「感染端末特定後の行動」は、インシデントの分析や調査など、慎重な作業が求められる段階だ。小澤氏も、「ネットワークから感染端末を分離することはいいとしても、いきなりウイルススキャンを実行するような対処は間違い。マルウェアの痕跡が消えてしまう」と解説する。
インシデントの状況を調査するには、まず感染端末をそのままの状態で証拠として保全し、端末の内部でマルウェアがどのように動作したのかといった点を詳細に分析していく。この作業には非常に高度な技術が必要で、外部の専門機関に委ねるケースがほとんどだ。
ここでのポイントに小澤氏が挙げるのは、インシデントの調査や分析にどの程度CSIRTが関わるのかという判断をしておくこと。調査や分析が難しいと、外部機関にすべての作業を丸投げしてしまうことは避けるべきと話す。
「迅速に対応していくにはCSIRTとして意思決定をできることが大切。外部での分析や調査にはある程度時間がかかることもあり、例えば限定的な範囲でもいいので、調査や分析を自分たちで実施できるよう検討してみるべきだろう」(小澤氏)
関連記事
- 「サイボウズ式」CSIRTの構築と機能を維持するポイントは何か?
クラウドやグループウェアでおなじみのサイボウズだが、CSIRTや脆弱性対策など様々な活動も積極的に展開している。CSIRTの構築やセキュリティインシデント対応での経験、機能する体制を維持していくためのヒントを聞いた。 - 自前でのインシデント対応は困難、企業間で広がるセキュリティ連携の動き
セキュリティの脅威へ企業が単独で対応するのはもはや不可能と言われ、企業の枠を超えてセキュリティ対策で連携する動きが広がり始めた。企業間で連携する意義やポイントは何か――。 - 怪しい動きは自社でも調査 大成建設に聞くセキュリティの取り組み
昨今のセキュリティ対策ではサイバー攻撃などのインシデント(事故や事件)へ迅速な対応をできることが強く求められている。大成建設はそのためのチーム「T-SIRT」を2013年に結成した。T-SIRT誕生の経緯や日々の活動とはどのようなものか――。 - 脅威から機密情報を守り抜くEMCの社内セキュリティ実践
最先端技術や重要な顧客などの情報を狙う脅威に日々どう対応すれば良いのか。EMC最高セキュリティ責任者のデーブ・マーティン氏は、情報の収集・分析・活用が重要だと説く。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.