第4回 フロー図で理解するセキュリティインシデントの対応:現場エキスパートに学ぶ実践的サイバー攻撃対策塾(1/2 ページ)
情報セキュリティにかかわるインシデントが起きれば、どうすればいいのだろうか。担当者や対応方法は決まっているだろうか? 今回はこの「インシデント対応」について考えてみたい。
今回は、標的型攻撃によって何らかの被害が発生してしまったケースを考える。標的型攻撃を受け、C2(遠隔操作:Command and Control)によって組織内のPCが外部と不正な通信をしていたとする。セキュリティソリューションによって被害を検知できれば、アラートから被害を知ることができる。あるいは、社外から指摘を受けて気付くこともあるかもしれない。いずれにせよ、まず課題となるのは、そういった通知を「誰が」受け取るのかという点である。そして、「誰が」調査を行い、「誰が」対策の実施を判断するのか。最終的に、経営層を含めたステークホルダーに「誰が」報告を行うのだろうか。
このように、情報セキュリティインシデント(以下、インシデント)への対応では、「誰が」がキーワードとなる。被害が発覚してから対応する人を決めていては遅すぎる。初動対応が遅れれば、その間に被害が拡大してしまう恐れがあるためだ。そうは言っても、特定の個人に責任を負わせるような形には限界がある。そこで、チームとして「誰」を分担することが望ましい。このチームが「CSIRT」(シーサート:Computer Security Incident Response Team)である。
CSIRTは「始めてしまう」ことが良策
読者の中には、CSIRTの設立を検討している人もいるかもしれない。しかし、そこでは難解な資料が多い上、大企業の本格的な導入事例が目につき、専門家でないかぎりは途方に暮れてしまうのが現実だ。そこで、先に述べたキーワードを思い出してほしい。重要なのは、「誰が」対応を行うのかということであり、その「誰」とはCSIRTに他ならない。CSIRTの必要性を感じているならば、とにかく始めてしまうのが良策だ。難しく思えた資料も、実感を伴えば理解しやすくなるだろう。
まず準備段階として、起こり得るインシデントを列挙する。「標的型攻撃を受け、社内PCが遠隔操作される」というケースだけでなく、「外出先で個人情報が記録されているPCを紛失した」というような場合も考慮し、外部からの攻撃に限らず、幅広く思いつくかぎり挙げていく。
次に、それぞれのインシデントについて検知する方法を考える。標的型攻撃の例で言えば、セキュリティソリューションからのアラート、SOC(セキュリティオペレーションセンター)サービスを利用している場合は、そのサービスを提供するセキュリティ会社からの通知という方法もある。検知する方法が整備されていないなら、検知方法を確立することがCSIRTの最初の課題となる。
一方、「PC紛失」というケースでは、検知というより、利用者による自己申告が主となる。この場合は速やかに申告がなされることを重視する。申告は利用者本人が気付いた時点で行われたのか、それとも翌日なのか、申告のタイミングで情報漏えいのリスクは大きく異なる。また、紛失ではなく、盗難である可能性も考慮すべきだ。PCに保存されていた情報が、より大規模な攻撃のための情報収集(偵察)に悪用されることも否定できない。抑えるべきポイントは、利用者が紛失に気付いた時点でスムーズに申告が行われる仕組みだ。そして、「インシデントの申告は適切な対応のためであり、責任追及をするのではない」というポリシーを組織の人々に理解してもらうことも重要だ。
Copyright © ITmedia, Inc. All Rights Reserved.