検索
連載

セキュリティ事故発生! 技術担当者は何をすべきか?セキュリティ教育現場便り(4)(1/2 ページ)

セキュリティ教育に携わる筆者の経験をベースに、本当に必要なセキュリティ教育を考える本連載。第4回では、インシデントレスポンスにおける「テクニカル担当」の役割を解説します。

Share
Tweet
LINE
Hatena
「セキュリティ教育現場便り」のインデックス

連載目次

 情報セキュリティ事故が起きたときには、原因や被害を特定するための分析が欠かせません。しかし、分析の観点はシステムの機能や特徴、発生した事故の内容によって異なるため、何をすべきなのか分からないという声もよく耳にします。そこで今回は、情報セキュリティ事故対応(インシデントレスポンス)において、原因や被害内容の調査に携わる「テクニカル担当」の役割に焦点を当てます。前回取り上げたハンドリング担当の指示の下、テクニカル担当が何をすべきなのか、ひもといていきましょう。

テクニカル担当の役割

 テクニカル担当は、情報セキュリティ事故が起きたとき、ハンドリング担当の指示を受けながらさまざまな対応を行います。具体的には、インシデント発生の確認に始まり、証拠となるデータの確保(証拠保全)、原因や被害内容の調査、原因箇所の修正・改善などを行っていきます。これらの作業を大まかに時系列的にまとめると、以下のようになります。なお、対応内容をイメージしやすくするため、ここでは具体的なインシデント発生のシチュエーションをベースに作業を整理しています。

テクニカル担当の対応例

シチュエーション

「特定のグローバルIPアドレス宛てに、内部から不審な通信が継続的に行われている」という連絡を契約プロバイダーから受けた。

※全ての事故対応で、以下の項目を実施するわけではありません。シチュエーションや環境に合わせて対応の仕方は変える必要があります。以下は、あくまでも一例として参考にしてください。

(1)インシデント発生有無の確認

  1. ウイルス感染を疑い、特定のグローバルIPアドレス宛ての通信を、ネットワーク機器などで遮断する
  2. プロキシサーバのログなどを分析し、特定のグローバルIPアドレスへ通信しているPCを特定する
  3. PCの利用者に電話連絡を入れ、ネットワークからの切り離しを指示する
  4. PCの設置場所へ向かい、ウイルス対策ソフトの稼働状況や起動プロセスの一覧、通信ポートの一覧などを確認する
  5. PC利用者には、PCを使っているときの違和感やアプリケーションのアップデート状況などについてヒアリングを行う
  6. ウイルス対策ソフトが検知した痕跡がなかったり、再度スキャンを行っても何も検出されなかったりする場合は、新種のウイルスに感染した可能性を考慮し、いったんPCを回収する

(2)証拠の確保(証拠保全)

  1. 回収したPCのメモリのデータを取得する
  2. 回収したPCのHDDのコピーを取得する
  3. PC利用者へPCを返却する場合は、OSの再インストールを行ってから返却する

(3)原因および被害内容の調査、分析

  1. メモリやHDDの分析を行う(次回、「デジタルフォレンジック」について紹介予定)
  2. 調査で得られた結果を基に、さらに被害を受けた別のコンピュータの分析を実施する

(4)システム修復

  1. OSのアップデートなど、感染原因をなくす対応を実施する
  2. 未返却のPCを利用者に返し、関連システムやネットワークを復旧する

 作業全体としては、システム障害が発生したときの対応をイメージしていただけると分かりやすいと思います。ただし、前回も述べた通り「攻撃者が存在する」という点は、システム障害への対応と大きく異なります。そのためテクニカル担当は、攻撃手法や、手法ごとの被害の違いを理解した上で分析を行う必要があります

 また、組織としては事前に事故が起きたときの状況を具体的に想定しておき、どのような対応を行うべきか、担当者の知識や技術力の観点から、どのような分析が可能なのかを取りまとめておくとよいでしょう。具体的な実施項目は、分析用コマンドの実行手順書や対応フローとして自組織用に整理しておき、平時からPCやサーバ分析の訓練を定期的に行えるような育成プランも作成します。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ページトップに戻る