セキュリティ事故発生! 技術担当者は何をすべきか?:セキュリティ教育現場便り(4)(1/2 ページ)
セキュリティ教育に携わる筆者の経験をベースに、本当に必要なセキュリティ教育を考える本連載。第4回では、インシデントレスポンスにおける「テクニカル担当」の役割を解説します。
情報セキュリティ事故が起きたときには、原因や被害を特定するための分析が欠かせません。しかし、分析の観点はシステムの機能や特徴、発生した事故の内容によって異なるため、何をすべきなのか分からないという声もよく耳にします。そこで今回は、情報セキュリティ事故対応(インシデントレスポンス)において、原因や被害内容の調査に携わる「テクニカル担当」の役割に焦点を当てます。前回取り上げたハンドリング担当の指示の下、テクニカル担当が何をすべきなのか、ひもといていきましょう。
テクニカル担当の役割
テクニカル担当は、情報セキュリティ事故が起きたとき、ハンドリング担当の指示を受けながらさまざまな対応を行います。具体的には、インシデント発生の確認に始まり、証拠となるデータの確保(証拠保全)、原因や被害内容の調査、原因箇所の修正・改善などを行っていきます。これらの作業を大まかに時系列的にまとめると、以下のようになります。なお、対応内容をイメージしやすくするため、ここでは具体的なインシデント発生のシチュエーションをベースに作業を整理しています。
テクニカル担当の対応例
シチュエーション
「特定のグローバルIPアドレス宛てに、内部から不審な通信が継続的に行われている」という連絡を契約プロバイダーから受けた。
※全ての事故対応で、以下の項目を実施するわけではありません。シチュエーションや環境に合わせて対応の仕方は変える必要があります。以下は、あくまでも一例として参考にしてください。
(1)インシデント発生有無の確認
- ウイルス感染を疑い、特定のグローバルIPアドレス宛ての通信を、ネットワーク機器などで遮断する
- プロキシサーバのログなどを分析し、特定のグローバルIPアドレスへ通信しているPCを特定する
- PCの利用者に電話連絡を入れ、ネットワークからの切り離しを指示する
- PCの設置場所へ向かい、ウイルス対策ソフトの稼働状況や起動プロセスの一覧、通信ポートの一覧などを確認する
- PC利用者には、PCを使っているときの違和感やアプリケーションのアップデート状況などについてヒアリングを行う
- ウイルス対策ソフトが検知した痕跡がなかったり、再度スキャンを行っても何も検出されなかったりする場合は、新種のウイルスに感染した可能性を考慮し、いったんPCを回収する
(2)証拠の確保(証拠保全)
- 回収したPCのメモリのデータを取得する
- 回収したPCのHDDのコピーを取得する
- PC利用者へPCを返却する場合は、OSの再インストールを行ってから返却する
(3)原因および被害内容の調査、分析
- メモリやHDDの分析を行う(次回、「デジタルフォレンジック」について紹介予定)
- 調査で得られた結果を基に、さらに被害を受けた別のコンピュータの分析を実施する
(4)システム修復
- OSのアップデートなど、感染原因をなくす対応を実施する
- 未返却のPCを利用者に返し、関連システムやネットワークを復旧する
作業全体としては、システム障害が発生したときの対応をイメージしていただけると分かりやすいと思います。ただし、前回も述べた通り「攻撃者が存在する」という点は、システム障害への対応と大きく異なります。そのためテクニカル担当は、攻撃手法や、手法ごとの被害の違いを理解した上で分析を行う必要があります。
また、組織としては事前に事故が起きたときの状況を具体的に想定しておき、どのような対応を行うべきか、担当者の知識や技術力の観点から、どのような分析が可能なのかを取りまとめておくとよいでしょう。具体的な実施項目は、分析用コマンドの実行手順書や対応フローとして自組織用に整理しておき、平時からPCやサーバ分析の訓練を定期的に行えるような育成プランも作成します。
Copyright © ITmedia, Inc. All Rights Reserved.
地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」
インシデント発生時のコストを最小限に抑えるデータ運用術
RSA Conference 2016に見る「可視化」「検出」「対応」を支援する製品たち