情報BOX 【 知って得するサイバーセキュリティ講座 】
第8回サイバー攻撃を受けたら何をするべきか【2】
2012年6月27日
【手順2】エマージェンシー・レスポンス(緊急対応)を行なう
「インシデント」が発生した可能性がある場合は、原因解明の質を上げ、その後の対策をより完璧なものとするためにも、運用担当者や開発担当者とは別の、インシデント・ハンドリングの専門家に依頼することが、最も重要なこととなります。
「インシデント・ハンドリング」とは、「インシデント」を取り扱うために行われる各種の業務を指します。「インシデント・ハンドリング」では、「エマージェンシー・レスポンス(緊急対応)」と「インシデント・レスポンス」が行われます。
「インシデント・ハンドリング」を行う組織のことを、「CSIRT(シーサート:Computer Security Incident Response Team)」と言います。 「インシデント」が発生した可能性がある場合、まず「エマージェンシー・レスポンス(緊急対応)」が行われます。この「緊急対応」の成否で、その後の原因究明の質が大きく左右され、法的責任追及の可能性が大きく変わってきます。
「緊急対応」では、トリアージ、封じ込め(コンテインメント)、デジタルフォレンジックスが行われます。
トリアージ
トリアージとは、災害時医療で患者の傷病の程度によって優先順位を決定してタグ付けを行なうことをいいます。
セキュリティインシデントが発生した場合、同時に複数の問題に対処しなければならない場合が少なくありません。そこで、緊急性が必要な処置を見極め、その重大度と緊急度に応じて優先順位づけするためにトリアージが行われます。
トリアージの結果、どのような順序で、攻撃の封じ込めを行い、証拠保全を行うかが決定されます。
封じ込め(コンテインメント)
封じ込め(コンテインメント)とは、継続中の外部からの攻撃や、情報の流出等の被害が継続することを遮断することです。
ファイアウォールのポートを閉じたり、IPS(侵入防御システム)の検知を強化したりすることで、攻撃に利用されている通信を「ブロック(遮断)」します。また、攻撃を受けたり、マルウェアを拡散したりしているコンピュータのネットワークケーブルを物理的に抜くことで「アイソレーション(隔離)」し、被害の拡大を防止します。
攻撃によっては、通信が遮断されたことを検知し、自動的に証拠隠滅を行うものもあるため、専門家の判断が必要となります。
デジタルフォレンジックス
次に、犯罪の証拠を保全するために、早急なデジタル・フォレンジックが必要となります。
デジタルフォレンジックスとは、コンピュータを使った犯罪の証拠を、証拠能力を損なわない方法で採取し、犯罪の証拠である事を証明する、コンピュータの調査・分析の方法です。適切なデジタルフォレンジックスの手順により証拠保全が行われれば、犯人の逮捕や告訴に必要な証拠の証拠性が保たれ、迅速な事件解決につながります。
証拠保全を行うには、揮発性の高い証拠から順に保全していかなければなりません。動作中のプロセスの状態や、メモリ上に存在する攻撃の証拠は、再起動などによって失われてしまうため、注意が必要です。
攻撃やマルウェアの種類によっては、ネットワークの切断や、管理者のログインなどの異常を検知すると、データを削除しプロセスを停止するなどの証拠隠滅を行う場合があります。
また、ログインするだけでOSによって自動でファイルが書き換えられたり、ファイルを読むだけでファイルのアクセス日付が変更されたりするなどの影響もあります。
訓練を受けていない者が、不用意に再起動させたり、ネットワークを抜いたり、ログインしたりすることで、証拠保全に失敗する可能性があります。証拠能力を損なわないためには、細心の注意が必要とされるため、デジタルフォレンジックス調査の専門家によって行われる必要があるのです。
◆ 次回は「サイバー攻撃を受けたら何をするべきか【3】・インシデント・レスポンスを行なう」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)