セキュリティ教育に携わる筆者の経験をベースに、本当に必要なセキュリティ教育を考える本連載。第4回では、インシデントレスポンスにおける「テクニカル担当」の役割を解説します。
情報セキュリティ事故が起きたときには、原因や被害を特定するための分析が欠かせません。しかし、分析の観点はシステムの機能や特徴、発生した事故の内容によって異なるため、何をすべきなのか分からないという声もよく耳にします。そこで今回は、情報セキュリティ事故対応(インシデントレスポンス)において、原因や被害内容の調査に携わる「テクニカル担当」の役割に焦点を当てます。前回取り上げたハンドリング担当の指示の下、テクニカル担当が何をすべきなのか、ひもといていきましょう。
テクニカル担当は、情報セキュリティ事故が起きたとき、ハンドリング担当の指示を受けながらさまざまな対応を行います。具体的には、インシデント発生の確認に始まり、証拠となるデータの確保(証拠保全)、原因や被害内容の調査、原因箇所の修正・改善などを行っていきます。これらの作業を大まかに時系列的にまとめると、以下のようになります。なお、対応内容をイメージしやすくするため、ここでは具体的なインシデント発生のシチュエーションをベースに作業を整理しています。
「特定のグローバルIPアドレス宛てに、内部から不審な通信が継続的に行われている」という連絡を契約プロバイダーから受けた。
※全ての事故対応で、以下の項目を実施するわけではありません。シチュエーションや環境に合わせて対応の仕方は変える必要があります。以下は、あくまでも一例として参考にしてください。
(1)インシデント発生有無の確認
(2)証拠の確保(証拠保全)
(3)原因および被害内容の調査、分析
(4)システム修復
作業全体としては、システム障害が発生したときの対応をイメージしていただけると分かりやすいと思います。ただし、前回も述べた通り「攻撃者が存在する」という点は、システム障害への対応と大きく異なります。そのためテクニカル担当は、攻撃手法や、手法ごとの被害の違いを理解した上で分析を行う必要があります。
また、組織としては事前に事故が起きたときの状況を具体的に想定しておき、どのような対応を行うべきか、担当者の知識や技術力の観点から、どのような分析が可能なのかを取りまとめておくとよいでしょう。具体的な実施項目は、分析用コマンドの実行手順書や対応フローとして自組織用に整理しておき、平時からPCやサーバ分析の訓練を定期的に行えるような育成プランも作成します。
Copyright © ITmedia, Inc. All Rights Reserved.