セキュリティ事故発生! 技術担当者は何をすべきか?:セキュリティ教育現場便り(4)(2/2 ページ)
セキュリティ教育に携わる筆者の経験をベースに、本当に必要なセキュリティ教育を考える本連載。第4回では、インシデントレスポンスにおける「テクニカル担当」の役割を解説します。
自組織だけでどこまでやるべきか?
前項で挙げたテクニカル担当のアクション例を見て、「自組織内でここまでやるのか?」「自分たちにできるのか?」という疑問を持った方もいらっしゃると思います。実際、筆者が事故対応責任者の方々にこのような話をすると、「これらの作業をやるべきなのは分かるが、自社で全てを実施するのは負担が大きすぎる」といった感想を持つ人も少なからずいます。
テクニカル担当の作業範囲については、自組織の人材育成計画や、分析用環境がどこまで準備できるかといった点を考慮した上で、事前に決めておく必要があります。その上で、自組織内で実施できない範囲については、契約しているセキュリティベンダーやインシデント対応サービスを提供しているベンダーに支援を依頼しましょう。平時からこうした依頼先の目星を付けておくことも、事故対応の準備の一環です。なお、ベンダーへの依頼にも対応コストが必要になりますから、ハンドリング担当や組織の責任者のタスクに含めておくことを忘れないでください。
作業分担の例
ここで参考のため、筆者が過去に見た作業分担の例を紹介しましょう。よく見られるのは、前項で挙げた項目のうち「(1)インシデント発生有無の確認」だけを自組織で行う方針をとっている組織です。ウイルス対策ソフトで駆除できるウイルスに感染していると分かれば、ウイルス対策ソフトベンダーなどの支援を受けながら対応ができる可能性がありますし、対策ソフトで検知できないウイルスへの感染が疑われる場合でも、対象PCが特定できていれば、インシデントレスポンスサービスを提供するベンダーへの依頼を行いやすくなります。
「(2)証拠の保全」まで自組織内で実施している組織もあります。事前に自組織内でデータのコピーを取得しておけば、ベンダーはすぐに分析に取り掛かることができます。ベンダーに証拠保全から作業を依頼した場合、データのコピーが終わるまでに丸1日かそれ以上を要するようなこともありますから、ベンダーが分析作業に速やかに着手できるように、自組織であらかじめコピーを取得しておく意義はあるでしょう。
また、ウイルス感染が疑われるPCを回収した後は、利用者が速やかに業務に戻れるように、できるだけ早くPCを返却する必要があります。代替機があればそれを割り当てても問題ありませんが、空きPCがない場合に、業務に支障が出てしまいます。その点、自組織でディスクのコピーを行えば、PC本体はOSを再インストールした後、すぐに利用者へ返却することができます。自組織でメモリやディスクのコピーを行うことの利点と、そのために必要な環境の準備や体制維持のコストとを比較し、自組織での実施要否を検討してみてください。
なお、ベンダーへディスクコピーを依頼する場合には、PCやサーバ環境の情報を事前に取りまとめておくことをお勧めします。ベンダーの保全担当がいざディスクコピーのためにサーバルームに行ってみると、環境が事前に聞いていたものと違っていたために、出直さざるを得なかったという事例もあるからです。
ベンダー依頼の判断基準をどうするか?
「(3)原因および被害内容の調査、分析」に関しては、ログ分析の範囲であれば自組織で行うことも可能でしょう。しかし、ログから情報セキュリティ事故の原因や被害内容がはっきりと分からない場合、OSのシステムファイルの解析や残留データの復元、ファイルシステム上の時間情報に基づく解析といった「デジタルフォレンジック解析」を行う必要があります。
このデジタルフォレンジックを含む分析を全て自組織で実施する場合、分析手法に関する教育や、新たな攻撃手法・分析手法の継続的な情報収集などが必要になります。また、同じコンピュータの分析でも、OSが違えば分析の観点は異なります(Windows PCを分析できる担当者が、必ずしもLinuxサーバの分析ができるわけではありません)。自組織で取り扱うコンピュータのOSやシステムの特徴を把握し、それに対応できるテクニカル担当を育成する必要があるため、相応のコストが掛かります。
これについては、自組織で分析するかベンダーに分析依頼をするかの判断基準として、「サーバはまず自組織で調査、分析を行い、PCは初めからベンダーに依頼する」といった大まかな対応方針を決めておくのも1つでしょう。PCへのウイルス感染はログにほとんど痕跡が残らないため、分析難易度が高くなる一方、サーバへの不正アクセスの調査では、ログが取得されていれば分析に取り掛かることができるからです。もちろん、サーバのログ分析においても、「攻撃を受けていることは判明したが、原因や被害内容が分からない」という状況に陥ることはあります。こうしたケースに備えて、ハンドリング担当者は、あらかじめある程度のタイムリミットを決めておき、決められた時間を超えた場合はベンダーに依頼するなどの判断を行いましょう。
以上、今回はセキュリティ事故発生時の「テクニカル担当」の役割を説明しました。次回はこのテクニカル担当の「育成」にフォーカスを当て、自組織にテクニカル担当を育てるための方法について解説します。
著者プロフィール
富田 一成(とみた いっせい)
株式会社ラック セキュリティアカデミー所属。
保有資格、CISSP、CISA。
情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。
「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.