日本企業に対するインシデント解説 インシデントに対する準備の重要性

1.準備こそインシデント対応の土台

インシデント対応は、事件が発覚した瞬間から始まり、その成否は時間との勝負で決まると言えます。関係者は時間を常に意識しながら、収束に向けて行動することが求められます。多くの組織では、インシデントの収束までの時間を短縮できるよう事前に計画を立て、インシデント対応のプロセスや組織体制および調査手順などを整備しています。しかし、実際にインシデントが発生した際には、マルウェア感染の検知から感染端末の特定・隔離までの時間を短縮できても、その後の感染経路の調査やシステム全体の被害範囲と深刻度の把握に時間を要したという事例が少なくありません。

PwCサイバーセキュリティエンジニアリングチーム(以下、PwC CSET)が過去に支援したインシデント対応を振り返ると、多くの組織は、サイバー攻撃を完全に防ぐのは不可能であると認識し、セキュリティ装置による監視やマルウェア検知を強化することに注力していました。しかし、最先端の監視・検知の仕組みを導入していても、インシデントに対応するための「準備」が万全に行われていない場合、対応全体が長時間化し、インシデント発生からの回復力(サイバーレジリエンス)が低下する恐れがあります。本稿では、インシデント対応の土台である準備段階で、何をどのように整備する必要があるかについて解説します。

インシデント対応の準備における3要素

2008年に米国国立標準技術研究所(NIST)により公開されたコンピューターインシデント対応ガイドライン(NIST SP800-61)では、インシデントに対応するためのライフサイクルとして7段階の手順を定義しています(図表1)。昨今、巧妙化する攻撃を完全に阻止することは困難と考え、攻撃を受けて侵入されることを前提に、被害の最小化を重視する傾向があります。しかしながらこのライフサイクルは、サイバーセキュリティに対するアプローチに左右されることなく、インシデント対応の基本的な考え方として広く普及しています。

このライフサイクルの最初の段階は、「準備」となります。インシデント対応の準備を具体化するにあたっては、以下の3つの要素(以下、3要素)に分けて考えることが重要です。

  • ポリシー・プロセス(対応戦略、計画および対応手順など)
  • リソース(人材、技術、設備およびツールなど)
  • 情報(組織体制、構成管理情報および各ログ情報など)

この「準備」段階には、迅速なインシデント対応を実現できるように対応能力を確立することや、システム・ネットワーク・アプリケーションを十分に安全な状態に保ち、インシデントの発生を予防することが含まれます。これらの要素を整理すると共に、最新の脅威動向に応じて定期的に見直しを行うことが重要です。

何を準備するか(3要素における準備項目の整理)

インシデント対応能力を確立するためには前述の3要素に従い、以下のような準備が求められます。

  • ポリシー・プロセス
    • インシデントレスポンス対応のプロセス
    • 証拠保全の手順
    • ログ調査・分析手順
    • システムの停止・起動手順、など
  • リソース
    • 社内インシデントレスポンス対応チーム
    • ログ・証拠取集ツール
    • ログ解析・分析ツール
    • 外部委託先(セキュリティベンダー)、など
  • 情報
    • ネットワーク構成図
    • サーバーの管理構成情報
    • セキュリティ製品の情報
    • システム担当名簿および連絡体制、など

どのように準備するか(3要素の関連性を考慮した準備の流れ)

インシデント対応の能力を確立するためには、3要素の関連性を考慮し、図表2に記載の流れに沿って準備を行うことが推奨されます。

(1)事前に整理すべき情報の定義
自社・自組織のセキュリティガイドラインに従って、重要なシステムを識別した上で、関連する情報を整理します。

(2)プロセス・作業手順に従ったリソースの配置
事前に策定したプロセスと手順書に従ってリソースを適切に配分し、インシデント対応の際に効率的に対応できる準備をします。

(3)必要な情報の活用
構成管理情報やログなどを整理した上で、インシデント対応の各プロセスで必要な情報の保存先と入手方法を明確化します。

2.PwC CSETの事例から見る「準備」の必要性

PwC CSETはこれまで、多数のインシデント対応を支援してきました。そこでは、準備が不足しているために、適切かつ早急にインシデント対応ができなかった組織が多く見受けられました。以下に2つの事例を紹介します。

事例1:ランサムウェア感染のインシデント対応における準備不足

ランサムウェア感染のインシデントに見舞われた組織の事例です。図表3のように、攻撃者は、外部委託先の運用作業用踏み台端末に侵入し、複数台のサーバーにランサムウェアをばら撒きました。この組織は、感染の発覚から初動対応および証拠保全までを24時間以内に完了しました。しかし、偶然によるものか定かではありませんが、踏み台端末のハードディスクの障害により、オペレーティングシステム(OS)が起動できない事態に陥っており、ハードディスクの復旧作業を実施した結果、一部のファイルを復旧できたものの、OSのログファイルを含むそれ以外の情報を完全に元に戻すことはできませんでした。

復元できたファイルをフォレンジック調査すると、攻撃者が外部委託先のネットワークを介して踏み台端末に侵入した可能性があることが推測できました。一方、障害が発生した踏み台端末のログが失われたこと、さらに今回は該当踏み台端末と接続ネットワーク機器のログが保存されていなかったことにより、攻撃者がどのような手口をもって、どのような経路で侵入したかについての解明には至りませんでした。

この事例では、インシデント対応の準備の段階で、情報の整備が不足していたと分析することができます。仮にサーバーのログとネットワーク機器のログを外部の専用ログサーバーに保存していたとすれば、踏み台端末のログが喪失しても、インシデントに対する詳細な調査を実施することができたと想定されるためです。

事例2:APT攻撃のインシデント対応における準備不足

侵害範囲や深刻度を判別しやすいランサムウェアによるインシデントと比べて、より複雑なAPT(Advanced persistent threat)攻撃では、組織におけるインシデント対応の成熟度をさまざまな側面から評価することが可能です。PwC CSETが携わったインシデント対応のうち、海外拠点においてAPT攻撃を受けた組織の例を紹介します。この組織では図表4のように、マルウェア感染を検知してから封じ込め対策を実施し、インシデントを収束させるまで12日間を要しました。システム復旧についても難航し、ビジネスを再開するまでにはさらなる時間を要してしまいました。

上記の事例2から、課題および改善策を、前述した3要素に照らし合わせて考えてみましょう。図表5に、インシデント対応の事前準備段階における課題整理しました。

この事例で特筆すべき点として、システムの復旧手順をはじめ、「ポリシー・プロセス」が整備されていなかったことが大きな課題として挙げられます)。これが原因でシステム復旧に時間がかかり、ビジネス再開も遅延してしまいました。「リソース」に関しては、インシデントに対応するための人的リソースや有事の際のコミュニケーションポリシー、インシデント対応をリモートで行うためのツールの整備が不足していたことが考えられます。さらに「情報」の観点から分析すると、速やかに調査を開始できたものの、サーバー構成情報やネットワーク構成情報などのシステム環境関連の資料が事前に十分に整理されていなかったために、攻撃の全容解明やシステム復旧対策の妥当性の確認に時間を要したと考えることができます。

上記の3要素の課題を改善するために実施すべき事前準備として、図表6に考えられる改善案をまとめました。「ポリシー・プロセス」においては、導入しているシステムの特徴を踏まえた、実現性のあるインシデント対応手順の整備が効果的です。「リソース」では、インシデント発生を想定した演習を定期的に実施し、リソースの可用性と有効性を検証するのが有効です。最後に「情報」ですが、IT環境に対する全面的なアセスメントを実施し、ネットワークおよびサーバーの構成管理情報を詳細に整理することが重要です。これらの準備をすることにより、事例2のようなAPT攻撃に対しても高いサイバーレジリエンスを発揮し、システム復旧に要する時間を短縮することが可能となります。

本稿では、攻撃を受け、侵入されることを想定したインシデント対応における準備の重要性について説明しました。次回は、インシデント発生時に取るべき対応について紹介します。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}