ANAグループやJPCERT/CCが説くインシデントレスポンスの要諦:ITmedia エンタープライズ ソリューションセミナー レポート(3/4 ページ)
サイバー攻撃などの脅威を防ぎ切れない今、企業や組織に求められるのはインシデント(事故)の発生を前提とする対応(レスポンス)への取り組みだ。ITmedia エンタープライズ主催セミナーでは第一線の専門家がインシデントレスポンスにおける“要諦”を解説した。
インシデント時の対応を左右するポイントは?
企業のインシデント調査を手掛けるシマンテック サイバーセキュリティサービス インシデントレスポンス リード・インベスティゲーターの鵜沢裕一氏は、インシデント時の対応を左右するポイントを紹介した。同氏は、「平常時の準備こそが大切」を強調する。
例えば、インシデント発生時に決める対応方針は調査優先か、復旧優先かしかないといい、調査を優先すれば復旧に時間がかかる一方、復旧を優先すれば原因などの調査が難航する(作業時にマルウェア活動などの痕跡が失われる可能性がある)。復旧を優先する場合でも、システムを停止するか、停止できない場合にどうするかなどの方針を事前に決めておく必要があるとのことだ。
調査では証拠となるログが不可欠であり、収集対象のシステムやネットワーク、ユーザーの権限なども事前に検討しておく。特権ユーザーの操作ログやシステムメンテンス時のログも調査の重要な手がかかりになる。復旧作業でも、可能であればシステムを再構築すべきという。マルウェアなどの侵害範囲を全て特定して対処することは難しく、いざ復旧しても侵害が再発する可能性があるためだ。
インシデントが進行する慌ただしい状況で適切な判断を下すのは非常に難しく、判断がその結果につながるからこそ、鵜沢氏は平常時における準備の大切さを繰り返し説いた。
フォレンジック調査の手法とは?
ファイア・アイ執行役員 マンディアント・サービス本部長のアレックス・シム氏は、マルウェアの痕跡や影響などを調べるフォレンジック解析について紹介した。マンディアントは2004年からインシデント調査を手掛けている。
フォレンジック解析は古くから行われているが1995年頃にディスクベース、2005年頃にメモリベース、2010年頃にライブレスポンス/ネットワークフォレンジックと呼ばれる手法が確立された。
それぞれの特徴は、ディスクベースでは端末のHDDを保全して内部を詳細に調べる。データの復旧や法的な証拠としては有効だが、ディスク容量の増大化によって調査に膨大な時間を要し、端末を使えない(ビジネスの中断)などのデメリットがある。メモリベースではメモリダンプからマルウェア活動などを詳しく調べる。リモートから調査でき、ビジネスの中断がないといったメリットがあるものの、ディスクベース解析の併用やメモリ容量の増大化に伴う解析の長期化というデメリットがある。ライブレスポンスではリモートから稼働中の端末のディスクやメモリを調査し、ネットワークフォレンジックではネットワークのフルパケットを解析する。大規模環境での調査に適しているが、高度な専門知識やスキルを必要とする。
シム氏によれば、国内のフォレンジック調査はディスクベースがいまも主流であり、海外に比べる20年近い開きがある。インシデントの実態が複雑化する昨今では各種の手法をうまく適用しながら調査することが重要だという。
関連記事
- セキュリティ事故経験は7割? 数字でみるニッポン企業の現実
サイバー攻撃や内部不正による情報漏えいなどの深刻な事故が近年相次ぐ。企業ではセキュリティ事故への対応や対策強化が叫ばれるが、その現状はどうか。各種統計からその実態を探ってみたい。 - インシデントレスポンスとは何か――自動車事故に置き換えて考える
セキュリティ上の重大事故や障害での対応とはどのようなものでしょうか。自動車事故における対応の流れを例に解説します。 - サイバー攻撃者は侵入から2年の間に何をしていたか――調査で分かること
情報漏えい事故を調査すると、攻撃者はたいぶ前から侵入していた――インデント対応における調査からはこうした事実が分かるケースが多いという。実際のインシデント調査事例と対応でのポイントを専門家に聞く。 - セキュリティインシデントの対応は事前準備に勝算あり――シマンテック
高度なマルウェア感染などが企業や組織で次々に発覚する状況にシマンテックは、緊急時だけでなく平時にインシデント対応体制の強化する新たな支援サービスへ乗り出す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.