情報BOX 【 知って得するサイバーセキュリティ講座 】
第9回サイバー攻撃を受けたら何をするべきか【3】
2012年7月26日
【手順3】インシデント・レスポンス(事件・事故対応)を行なう
「インシデント(事件・事故)」の発生に対して対応することを「インシデント・レスポンス(事件・事故対応)」と言います。
「インシデント・レスポンス」では、「インシデント分析」と「インシデント報告」を行い、その「インシデント」の内容に合わせて、「カウンターメジャー(事後対策)」と被害の「ミティゲーション(軽減)」が進められ、次にシステムの「レメディエーション(回復)」が行われます。
インシデント分析
まず、インシデント分析が行なわれます。これは、「インシデント」の原因と対応を決定するために行われる分析です。
保全した証拠より、行われた攻撃が、どのような内容であったかが分析されます。攻撃手順を明らかにしつつ、攻撃対象となったシステムに対して実際に疑似攻撃を行う侵入検査を行うことで、その攻撃が成功するかの分析が行われます。
また、その攻撃によってどのような被害が発生した可能性があるかの、被害状況の分析も合わせて行なわれることとなります。これらの分析結果を元にして、その後の対応が検討されます。
インシデント報告
さらに「インシデント」が発生した場合、関係各所へ〝遅滞なく〟インシデント報告が行われなければなりません。報告先には、JPCERT/CCなどのコンピュータ・セキュリティ・インシデントに関するコーディネーション(連携)センターや、IPAなどのウイルス・脆弱性に関する対応組織への報告があります。
インシデント報告が遅れることによって、被害が周囲へ拡大する懸念があります。 これらのコーディネーションセンターに報告することで、注意喚起や早期警戒が行われ、守りを固めることで、さらなる被害の拡大を防止することが可能となります。
また、サイバー犯罪の可能性がある場合は、警察のサイバー犯罪対策室(警視庁はサイバー犯罪対策課)へ相談する必要があります。
情報漏洩などの懸念がある場合には、情報主体となる利用者・消費者に対して広報を行なう必要があります。
広報が遅れることで、隠蔽への懸念や不誠実な対応と感じられることによる信用へのダメージにつながるなど、被害が重症化する可能性があります。そのため、平時からインシデントが発生した場合の広報のあり方を、「危機管理広報」としてマニュアル化し、体制を整備しなければなりません。
危機管理広報のポイントは迅速性と、そして隠蔽しないで“ありのまま”に報告することです。
カウンターメジャー(事後対策)とミティゲーション(軽減)
継続する攻撃に対して対抗策を講じることを、一般的に「カウンターメジャー(事後対策)」と呼びます。
SQLインジェクション、Javascriptインジェクションなどの、ウェブアプリケーションサーバに対する攻撃に対しては、ファイアウォール(※1)、IPS(※2)、WAF(※3)の導入と攻撃の検知・遮断により、カウンターメジャーを行います。
同時に、被害が広がったり深刻化したりすることを防止する「ミティゲーション(軽減)」を行ないます。
マルウェア(※4)に感染した場合は、感染拡大防止のため物理的に隔離し、周囲への拡散防止のためにウイルス対策ソフトウェアを導入し、連携機関への情報提供により周囲へ注意喚起を行うことで、ミティゲーションを行います。
DDoS攻撃(※5)の場合、上流のISP(インターネットサービスプロバイダー)と連携し、不正なリクエストを遮断することで、ミティゲーションを行います。
※1(ファイアウォール)…ネットワークの外部と内部の間に設置することで内部ネットワークを保護するためのセキュリティ機器
※2(IPS)…サーバやネットワークへの不正侵入を阻止するシステム
※3(WAF)…Webアプリケーションへの外部からの攻撃、侵入を検知、防止するシステム
※4(マルウェア)…コンピュータウイルス、スパイウェアなどの悪意のある不正ソフトウェアのこと
※5(DDoS攻撃)…大量のコンピュータから一斉に特定のサーバへパケットを送出し、標的となったマシンの機能を停止させる攻撃
レメディエーション(回復)
次に、インシデントからシステムを安全な状態に修復する「レメディエーション(回復)」を行ないます。
マルウェアへの感染であれば、ウイルス対策ソフトによりマルウェアを削除したり、再インストールを行うことで初期状態に復旧したりします。また、〝マルウェアに感染する前〟のバックアップデータからデータを復旧することも必要となります。
不正アクセスを受けたコンピュータであれば、バックドア(※6)などが仕掛けられ踏み台にされている可能性があるため、変更されたシステムファイルを元の状況に戻すなどを行わなければなりません。
セキュリティアップデートを行うことで、脆弱性に対する対策を行う必要もあります。
※6(バックドア)…侵入者により設けられた、繰り返し不正侵入を行なうための侵入経路
◆ 次回は「サイバー攻撃を受けたら何をするべきか【4】・根治(恒久的対策)を行う」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)