ここから本文です

フロー図で理解するセキュリティ事故の対応

ITmedia エンタープライズ 10/4(火) 12:27配信

 今回は、標的型攻撃によって何らかの被害が発生してしまったケースを考える。標的型攻撃を受け、C2(遠隔操作:Command and Control)によって組織内のPCが外部と不正な通信をしていたとする。セキュリティソリューションによって被害を検知できれば、アラートから被害を知ることができる。あるいは、社外から指摘を受けて気付くこともあるかもしれない。いずれにせよ、まず課題となるのは、そういった通知を「誰が」受け取るのかという点である。そして、「誰が」調査を行い、「誰が」対策の実施を判断するのか。最終的に、経営層を含めたステークホルダーに「誰が」報告を行うのだろうか。

【その他の画像:対策フローのサンプル】

 このように、情報セキュリティインシデント(以下、インシデント)への対応では、「誰が」がキーワードとなる。被害が発覚してから対応する人を決めていては遅すぎる。初動対応が遅れれば、その間に被害が拡大してしまう恐れがあるためだ。そうは言っても、特定の個人に責任を負わせるような形には限界がある。そこで、チームとして「誰」を分担することが望ましい。このチームが「CSIRT」(シーサート:Computer Security Incident Response Team)である。

●CSIRTは「始めてしまう」ことが良策

 読者の中には、CSIRTの設立を検討している人もいるかもしれない。しかし、そこでは難解な資料が多い上、大企業の本格的な導入事例が目につき、専門家でないかぎりは途方に暮れてしまうのが現実だ。そこで、先に述べたキーワードを思い出してほしい。重要なのは、「誰が」対応を行うのかということであり、その「誰」とはCSIRTに他ならない。CSIRTの必要性を感じているならば、とにかく始めてしまうのが良策だ。難しく思えた資料も、実感を伴えば理解しやすくなるだろう。

 まず準備段階として、起こり得るインシデントを列挙する。「標的型攻撃を受け、社内PCが遠隔操作される」というケースだけでなく、「外出先で個人情報が記録されているPCを紛失した」というような場合も考慮し、外部からの攻撃に限らず、幅広く思いつくかぎり挙げていく。

 次に、それぞれのインシデントについて検知する方法を考える。標的型攻撃の例で言えば、セキュリティソリューションからのアラート、SOC(セキュリティオペレーションセンター)サービスを利用している場合は、そのサービスを提供するセキュリティ会社からの通知という方法もある。検知する方法が整備されていないなら、検知方法を確立することがCSIRTの最初の課題となる。

 一方、「PC紛失」というケースでは、検知というより、利用者による自己申告が主となる。この場合は速やかに申告がなされることを重視する。申告は利用者本人が気付いた時点で行われたのか、それとも翌日なのか、申告のタイミングで情報漏えいのリスクは大きく異なる。また、紛失ではなく、盗難である可能性も考慮すべきだ。PCに保存されていた情報が、より大規模な攻撃のための情報収集(偵察)に悪用されることも否定できない。抑えるべきポイントは、利用者が紛失に気付いた時点でスムーズに申告が行われる仕組みだ。そして、「インシデントの申告は適切な対応のためであり、責任追及をするのではない」というポリシーを組織の人々に理解してもらうことも重要だ。

●フローの整備と組織の合意

 インシデントと検知方法を把握できれば、自社のCSIRTがどのようにあるべきかが見えてくるはずだ。次のステップでは、インシデントごとに詳細な対策フローを作成し、「誰が」「どのタイミングで」「何をするのか」を図示する。

 このように、図にすることで解釈の違いによる対応の遅れや、慌てて読み違えてしまうというミスを未然に防ぐことができる。フロー図に対応したチェックリストも用意しておこう。そして、CSIRT設立で最も重要な、「顧客情報の保護を最優先する」というポリシーに対する組織合意を得ておかなければならない。これは、CSIRTにおける必須事項だ。

 もし、インシデント対応のために、CSIRTがネットワーク遮断の判断を迫られた場合はどうなるだろうか。事前に組織の合意がなければ、関係する各部門の責任者にいちいち許可を求めることになるだろう。現場からも同意を得られないかもしれない。右往左往している間に、攻撃者は着々と情報を外部に持ち出してしまう。それにもかかわらず、CSIRTが対策を強行することは難しい。ネットワーク遮断による損失の責任を問われかねないからだ。

 あらかじめ現場の人々や責任者の合意を得ていれば、組織のルールとして迅速な対応ができる。不正侵入が検知されたなら、定められたフローとルールに則って対策を実行し、攻撃者の最終ステップ「目的の実行」の直前でサイバーキルチェーンを断ち切る。ネットワーク遮断のような思い切った対応は、組織へのダメージも少なからず生じる。しかし、ポリシーが組織全体に浸透していれば、CSIRTは揺るぎなく対応に専念できるのだ。

日頃の備えが大切

 インシデントは発生しないことが一番だ。多くのルールを定め、訓練を実施したとしても、生かされるシーンはないかもしれない。その一方で、いかに対策を講じても、標的型攻撃の脅威をゼロにすることはできない。この点において、標的型攻撃は自然災害と似ている。インシデントの予測、対応のルール化は簡単ではない。限界を感じた時には、外部の資料を参考にしたり、コンサルタントの力を借りたりすることも検討しよう。CSIRTが未整備の組織ならば、ぜひ「日頃の備えが、被害の程度を左右する」というコンセプトで、できるところから始めてみてほしい。

執筆者紹介:香取弘徳(かとり ひろのり)
NHN テコラス株式会社 データホテル事業本部SE部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた経験を持つ。現在はフルマネージドホスティングや支援アプリケーションの開発を担当。“Secured Hosting”をテーマに、新プラットフォームの開発にも取り組んでいる。

最終更新:10/4(火) 12:27

ITmedia エンタープライズ