1.サイバー攻撃とセキュリティインシデント
1.1 セキュリティインシデントとは
・セキュリティインシデントとは、不正アクセスや情報漏洩など、セキュリティが脅かされる事象である。インシデントには外部の攻撃者によるものもあれば、内部の犯罪者によるものもある。また紛失や設定ミスなどのヒューマンエラーに起因するもある。
・ISO/IEC 27035-1:2016によると、情報セキュリティインシデントの定義は、「組織の資産に損害を与える可能性のある情報セキュリティ事象」である。つまり、実際に情報漏洩が起きたかどうかにかかわらず、起きたかどうか「疑わしい」段階もセキュリティインシデントに含まれる。結果的に、勘違いであった場合もセキュリティインシデントと言える。
・セキュリティインシデントの例
| •顧客情報や機密情報が入ったパソコンを飲み屋に忘れた •ランサムウェアに感染し、サーバのデータが暗号化された •DoS攻撃によって、企業のWebサーバがダウンした •クラウドに置いた機密データが、誰からも閲覧できる状態になっていた •標的型攻撃によって、サーバの情報が搾取された |
1.2 サイバー攻撃について
・サイバー攻撃は年々増加し、最近ではAIを使ったもの、クラウドやテレワークを狙ったものなど、攻撃が複雑化、多様化している
・標的型攻撃の流れ
標的型攻撃をフェーズに分けてモデル化したものはサイバーキルチェーンと呼ばれます。よって、この攻撃の流れを理解し、サイバーキルチェーンの1か所を切ることが、対策として求められます。
1.3 セキュリティインシデントの現状
(1)サイバー攻撃の情勢
「令和6年におけるランサムウェアの被害報告件数は 222 件であり、高水準で推移。」
(出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf)
※ノーウェアランサムとは、データの暗号化はせず、公開をしない代わりに身代金を要求する
(2)被害額
❶総務省の資料
「トレンドマイクロが2019年に民間企業、官公庁及び自治体を対象に実施した調査12においても、調査対象となった組織全体での年間平均被害総額は約2.4億円となり、4年連続で2億円を超えている」 (出典:https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134120.html) |
❷警察の資料
復旧には、1か月程度はかかることが多く、また、被害額も数千万円規模になることが多いようです。
 (出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf) |
(3)インシデント発生の原因
❶警察の資料:ランサムウエアの場合:感染経路
インターネットとの接点から感染しているので、この点の対策に注力するべきでしょう。
 (出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf) |
(4)政府機関でのインシデント
別添1-7 政府機関等に係る 2024 年度の情報セキュリティインシデント一覧
https://www.nisc.go.jp/pdf/council/cs/dai44/44shiryou1.pdf
2.インシデント対応について
2.1 インシデント対応の目的
IPAの「中小企業のためのセキュリティインシデント対応手引き」には、以下のように記されています。(出典はこちら)
| ■インシデント対応の目的 インシデント発生による被害とその影響範囲を最小限に抑え、迅速に復旧し、再発を防止することで、企業の事業継続を確保することです。 |
ポイントは次の2つです。
①迅速に復旧
たとえば、インシデントが起こった部分を切り離したり、代替え手段を使うなどして業務を再開させる。
②影響範囲を最小限に抑える
インシデントが発生してしまったら、被害を完全にゼロにするのは困難なことが多いでしょう。インシデント対応では封じ込めをし、被害をさらに拡大させないことが大事です。※2次被害を防ぐことも目的です。
上の資料には「再発を防止」とありますが、それは目の前で起こっている対応が終わってあとの、事後対応の話です。以下は主目的ではありません。
✖被害ゼロを目指す
✖根本解決をする、再発の防止
2.2 インシデント対応の重要性
セキュリティ事故を完璧に防ぐことはできません。そこをゼロにしようとすると、セキュリティ対策は迷走してしまいます。
大事なのは、事故が起こったときの対応(=インシデント対応)です。
対応次第で、重大な事故になる場合もあれば、最小限で抑えられる場合もあります。
2.3 CSIRT(Computer Security Incident Response Team)
CSIRTは、セキュリティインシデント対応の専門チームで、コンピュータセキュリティインシデントの予防、検出、および対応のサービスとサポートを提供する。
また、多くの場合、CSIRTのメンバーは、専属チームの場合もあれば、CSIRT業務以外に、別の業務を兼務している場合が多い。よって、CSIRT業務に専念できない難しさもある。
2.4 インシデント対応の流れ
・NIST(National Insutitue of Standards and Technology:米国標準技術研究所)の資料によると、インシデント対応の流れは、「準備」「検査と分析」「封じ込め、根絶、復旧」「事件後の対応」の4つのプロセスからなります。
 |
【準備】インシデント対応のプロセスを整理したり、インシデントが発生したときの連絡窓口を用意したり、攻撃を検知できるような仕組みを準備します。 ↓ ↓ 【検知】利用者からの申告を窓口で受け付けることもあれば、監視機器などのアラートによって通知される場合もあります。 【分析】本当に攻撃が行われているのかを確認し、攻撃であれば、具体的に何が起こっているのかを分析し、次の行動につなげます。 ↓ ↓ 【封じ込め】被害にあったWebサーバを切り離すなどして、攻撃をそれ以上拡大しないよう封じ込めます。 【根絶】Webサーバのソフトウェアが古かったことが原因であれば、パッチをあてたりソフトウェアをアップデートしたりして、攻撃が成立しないようにします。 【復旧】Webサーバが改ざんされたのであれば、バックアップから元の状態に復旧します。 ↓ ↓ 【事件後の対応】 |
・IPAがNISTの資料をもとに、インシデント対応の流れを整理してくれています。
(出典:IPA「コンピュータセキュリティ インシデント対応ガイド」 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000bd3p.pdf )
・この中で検知から封じ込めまでが早急な対応が求められ、この対応が遅れると、情報漏洩事故につながる可能性が高まります。
2.5 インシデント対応の困難性
・インシデント発生時の意思決定の判断は簡単ではない。故障や災害のように故障したことや地震が起きたことが明確であればわかりやすい。インシデントの場合は、巧みに攻撃をされると、本当に攻撃されたかどうかがわからないことも困難性を高めている要因の一つである。
・NISTの「コンピュータセキュリティインシデント対応ガイド」でも「多くの組織にとって、インシデント対応プロセスの最も難しい部分は、事件を正確に検知して評価すること」と述べられている。
・セキュリティインシデント対応およびその意思決定が簡単ではない理由を、災害対応の例などを参考に、以下に整理する 。
(1)時間的制約
・救急医療の現場や災害対応と同じで、時間的な制約がある。たとえば、医療であれば、即座に処置をしないと命が失われてしまう。セキュリティインシデントにおいても、事前に予測不可能な攻撃、インシデントが突然やってくる。しかも、短時間に対処をしないと大規模な情報漏洩につながってしまう。
・インシデント対応に求められる迅速性
Crowdstrike社は,「検知」から「封じ込め」までの時間を1時間以内にすべきと提唱している。しかし、実際には平均162時間を要していたと述べている
〈https://www.crowdstrike.com/press-releases/crowdstrike-study-finds-organizations-take-over-162-hours-to-detect-respond-to-breaches/〉
(2)リスク評価の困難性
「故障」は、故障したことが明確な場合があることが多い。「災害」の場合も同じである。一方、「インシデント」は、本当に攻撃されたかどうかが判断できない場合がある。その理由は以下である。
❶大量のログ
事実確認のためにログを調査するが、ログは大量に存在する。ログは、正常な動作に関しても記録を残すからである。そして、リスク有りとしたログも、ほとんどは、攻撃が未遂の終わったログである場合が多い。
❷攻撃者が痕跡を残さない
ログは、攻撃者の行動をすべて記録しているわけではない。さらに、攻撃者は巧妙で、攻撃の痕跡を残さないように攻撃する(または、自らログを消去する)こともある。zdnetの記事[37]では、「法人や団体がサイバー攻撃を受けた「発生日」から、攻撃に気づいた「発覚日」までに平均349日を要していることが分かった」とあり、調査だけでなく、そもそも攻撃を検知することも簡単ではないことがわかる。
❸情報の不確実性
情報の不確実性として、たとえば、利用者の報告の不確実性がある。利用者の勘違いやITリテラシーの低さから、正確な情報が得られない可能性である。ときに、社内規定による懲罰などを恐れて正確な情報を伝えない、エスカレーションをしたくない(面倒など)ので報告しない、または、知識レベルの差や、海外の場合は言語や時差などによってコミュニケーションが正しく行えない可能性などもある。
❹新種の攻撃
災害と比べて、被害のパターンが非常に多く、新種の攻撃もある。時代や環境の変化に応じてサイバー攻撃も変化する。攻撃パターンが複雑であったり、新種の攻撃の場合、その攻撃への対応は簡単ではない。
(3)体制の不十分さ
・攻撃されたかやどれだけの影響範囲なのかなどについては、専門家による分析が必要である。Reedらの研究でも、インシデント対応に必要な要素として、「専門知識」「業務の理解」「解析のためのツールの習熟」が必要としている。
※ Reed T.Abbott R. G.[...]Forsythe C. Simulation of workflow and threat characteristics for cyber security incident response teams, Proceedings of the Human Factors and Ergonomics Society,427-431,2014
・しかし、多くの企業では、高度なスキルを持った人材が不足している。攻撃されたかやどれだけの影響範囲なのかなどについては、専門家による分析、場合によってはフォレンジック解析が必要である。しかし、多くのCSIRTでは、高度なスキルを持った人材はそれほど多くは存在しない。仮に存在したとしても、CSIRTはお金を稼ぐ組織ではないから、優秀な人材はCSIRTには配属されないこともある。仮にスキルを持った優秀な技術者がCSIRTに存在しても、本来業務が忙しく、毎日のように発生する攻撃の解析に時間を割くことが難しいことも多い。
・NISTの「コンピュータセキュリティインシデント対応ガイド」には、「検知をある程度簡単にする技術的な解決法はあるものの、最善の対策は、前兆や兆候を効果的かつ効率的に分析し、適切な行動をとることのできる、十分な経験を持った熟練したスタッフメンバーからなるチームを編成すること」とある。しかし、現実には熟練したスタッフを準備することが難しい。
・さらに、インシデント対応に関しては、セキュリティの専門家の存在だけでは不十分である。組織としてのリーダーシップも求められる。Frey S.Rashidらの研究では、セキュリティの専門家が対応した方が必ずしも最善とは限らなく、俯瞰的に見るなどのバランスも必要である。Ioannouらは、インシデント対応は、コミュニケーションが取れて協力できるチーム体制が求められると述べている。このように、インシデント対応に十分に対応できる組織を作る難しさがある。
※The Good, the Bad and the Ugly: A Study of Security Decisions in a Cyber-Physical Systems Game, Frey S.Rashid A.[...]Naqvi S. A. IEEE Transactions on Software Engineering (2019)
※Marios Ioannou, Eliana Stavrou, Maria Bada. Cybersecurity culture in computer security incident response teams: Investigating difficulties in communication and coordination,2019 International Conference on Cyber Security and Protection of Digital Services, Cyber Security 2019,2019.
2.6 インシデント対応の準備:ファースト9ステップ
・すでに述べましたが、インシデント対応はとても重要です。そこで、インシデント対応では、どういう考え方で、何をすべきか。その点も、経営層と現場で意識の統一が必要です。そして、インシデント対応訓練を実施し、準備したドキュメントや体制で実際にうまくいくか、PDCAサイクルを回してチェックしてもらうといいでしょう。
・CSIRTを構築後、まだインシデント対応のプロセスや準備ができていない組織における、最初にやるべきであろうファーストステップを記載します。中でも、インシデント対応のために特に重要と考えられる9つを記載します。※あくまでも私の個人的見解であり、組織によって大きく変わると思います。
(1)検知
・検知できる仕組みの構築
機器のログを取得する(FWは許可ログも取得)、アラートの設定、SIEMなどの各種システム構築、など
・PoCとして、利用者からの報告できる仕組みの構築
受け付けるメールアドレス、電話、Webサイトなどを決定。
(2)対応
・インシデント対応プロセスの整理
インシデントが発生したときのプロセス、フロー、対処策の整理(抜染やFWによる防御、社内への連絡など)
・システムおよび情報資産の整理と理解
どんなシステムがどこにあって、どれだけ重要かを把握し、適切なリスク評価や対応につなげる
・CSIRTとして、連絡先の整理
社内の報告窓口(営業部門、広報部門、最終意思決定者)、ベンダ、所掌官庁等など
(3)体制
・予算・人員の確保
専門性を持った人材の確保、セキュリティ対策の機器を構築する予算を確保
・インシデント対応をする組織、人の決定
部署名と担当者、最終意思決定者の決定
・組織内への周知
作成したマニュアルやPoC連絡先などを社内周知。定期的な勉強会や訓練なども活用して定期的に再周知
・経営層の承認
上記の内容を経営層に承認をもらい、実効性を確保する。たとえば、部長のPCを調査する際にも、「何の権限で調査するのか」と問われたときに、経営層の承認を根拠にできる。
3.インシデント発生時の対応
3.1 発生時の考え方
※あくまでも個人的な見解なので、組織によって異なると考えてください。
インシデント対応を全てをマニュアル化・定型化することはできません。それに、予期せぬ事態が起こり、なおかつ緊急事態ですから、分厚いマニュアルを読んでいる時間はありません。
そこで、インシデント対応時に実施すべきことの「考え方」を組織内で合意しておきましょう。
①事実確認
何が起こっているのかを、なるべく正確に判断する。※ただし、正確性のために時間をかければいいというものではない。
| 事実確認の内容として、以下があります。 ・事象の確認(何が起こったのか、どういうことが発生しているのか。事案が起こったサーバやPCの調査) ・ログの確認 ・当事者へのヒアリング ・世間および他社の情報(他社でも起こっているのか、ネットに攻撃情報があるのか) |
②判断権限を有する人へのエスカレーション
社員が個人的な考えで判断せずに、権限を持つ人に早急に報告する。
| 経営層へのエスカレーションの目的 ・情報共有(発生した事実や影響の報告。個人情報や機密情報などが含まれるかなども) ・経営判断の要請(サービス停止、人的リソースの投入、外部への委託、広報対応など) |
③被害の拡大防止
抜線やFWでの通信の拒否などにより、被害を早期に封じ込める。また、被害が顕在化した場合、2次被害の拡大防止も重要である。
3.2 【補足】インシデント対応時の注意点
上記の考え方に加え、インシデント対応時には、以下も意識してください。
①複数人での対応
事実確認や報告などの作業者と統制者を分けるなど、インシデント対応が適切に行える体制で実施する。
②証拠保全
何が起こったかを理解し、今後同じ攻撃を受けないようにするため
③サービス継続の検討
サービスを止めていいなら迷わず停止だが、現実的には、サービスを継続しながらの対応を求められる場合がある(他部門との信頼関係のためにも重要な意識)。ただし、この判断を間違えると重大なインシデントにつながるリスクがある。
3.3 参考リンク
(1)インシデント対応の極意
Yahooの宮坂さんのNoteです。インシデント対応の極意として、「重大事故の時にやったほうがいいこと10個」が書かれています。とても参考になります。
https://note.com/mmiya/n/n746eb2e36f81
(2)インシデント記者会見事例
・ジャパネットたかた社の顧客情報流出
https://www.nicovideo.jp/watch/sm3576642
・東京証券取引所のシステム障害
https://www.youtube.com/watch?v=VMujXSB9St4
3.4 ランサムウェアの支払いと法律
ランサムウェアの身代金を攻撃者に支払うことは、日本の法制度において直接的に違法と明記されている法律は存在しない一方で、以下の法令に抵触する可能性があります。
| 法令名 | 内容 | 抵触する可能性のあるケース |
|---|---|---|
| 外為法(外国為替及び外国貿易法) | 制裁対象国・団体への送金は規制されており、事前の許可が必要。違反すれば刑事罰あり。 | 攻撃者が北朝鮮、ロシアなど制裁対象の場合 |
| テロ資金提供処罰法(テロリズムに対する資金供与の処罰に関する法律) | テロ活動を支援する資金提供は、意図に関係なく違法。 | 攻撃者がテロ組織(例:ISIL)に関与している場合 |
| 組織的犯罪処罰法(資金洗浄防止) | 犯罪収益等の資金移転を幇助したと判断されると処罰対象。 | 攻撃者が反社・犯罪組織と判明した場合 |
| 刑法(幇助犯) | 犯罪行為を間接的に助ける行為も処罰されうる。 | 継続的な支払いや積極的な対応があった場合など |
3.5 情報の公表に関して
・以下の経済産業省の資料に詳細にまとめられている。
サイバー攻撃被害に係る情報の共有・公表
https://www.meti.go.jp/press/2022/03/20230308006/20230308006-2.pdf
4.インシデント対応訓練
4.3 参考資料
・NCA サイバー攻撃演習訓練実施マニュアル
https://www.nca.gr.jp/activity/pub_doc/drill_manual.html#000664
4.4 訓練の事例
freeeさんは、訓練の詳細を事前に明かさず、本格的な訓練をされたそうで、臨場感ある有効な訓練だったようです。
・【マジで】サイバー演習シナリオの作り方【怖い】
https://developers.freee.co.jp/entry/howto-make-cyber-exercise-scenario
・ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由
https://atmarkit.itmedia.co.jp/ait/articles/2207/22/news003.html
5.インシデント対応のWEST-SEC
・7/15(火)19時~21時、オンライン
・当日のタイムスケジュール(予定)
| 項番 | 時刻 | 内容 | 講師 |
|---|---|---|---|
| Program0 | 18:55〜 | 部屋解放 | |
| Program1 | 19:00〜19:20 | ・アンケートの依頼 ・攻撃の迅速化とインシデント対応のあるべき姿 昨今のサイバー攻撃の高速化により、いかに迅速に対処することが必要か、またインシデント対応のやや教科書的な話 https://west-sec.com/entry/ir |
粕淵 |
| Program2 | 19:20〜19:50 | 発表1 ヤフーで遭遇した3つの重大インシデントから得た学び |
LINEヤフー 日野隆史氏 |
| (休憩) | 19:50〜19:55 | ||
| Program3 | 19:55〜20:00 | アンケート結果の公開 | 粕淵 |
| Program4 | 20:00〜20:30 | 発表2 (仮)インシデント対応への備え〜訓練TIPSと経験談〜 |
freeeのCISO 茂岩祐樹氏 |
| Program5 | 20:30〜20:50 | 発表3 「インシデント対応は技術よりも人と組織」 ~医療機関のインシデント対応の経験から~ |
GOFU株式会社代表 萩原健太氏 |
| Program6 | 20:50〜21:00 | 質疑 、アンケートなど |
・589名の人にご参加いただきました。ありがとうございます。
・登壇者の皆様から、非常にいいお話が聞けました。ほぼ全部がいいお話でした。
「船頭は一人がいい」「マニュアルは紙で印刷しておくべき」「発生後は、どうしても過剰対応になりがち(→できないこともやると言ってしまう)」「ユーザーファースト」「関係組織と日頃から信頼関係を築いておく」「感情的にならず、事実を淡々と集める」「命が最優先(身代金を払うことも選択肢として検討した)」などなど。同じ話をもう一度聞きたいと思いました。
6. アンケート
185名の人に回答いただきました。
Q1. 現在の仕事について、最も近いものをお選びください。
・CSIRTなど、インシデント対応に直接かかわる業務を行っている
・インシデント対応は行っていないが、セキュリティ関連の業務を行っている
・セキュリティ業務にはほとんど関わっていない社会人
・学生
・その他
Q2.インシデントが発生したときに、あなたの会社のCSIRT組織はどの役割になっていますか?
当てはまるものをすべて選択してください。
・消防署(消火を助ける)
・警察官(事件の処理対応)
・裁判官(何が原因だったのかを裁く)
・野次馬(責任を持たない)
・その他、不明
Q3.最近のインシデントで最も多いものを教えてください。
Q4.インシデント対応能力は、どうやったら身に付くものと思いますか?(複数回答可)
・実際のセキュリティインシデント対応の経験をするしかない
・セキュリティやインシデント対応に関する知見を高める
・演習などの訓練の実施
・セキュリティに関する深い技術力
・(インシデント対応・セキュリティ業務に限らず)長年の業務経験こそが大事
・(経験や年齢にかかわらず、)本人の資質によるところが大きい
・わからない
Q5.インシデント対応演習(訓練)の課題を教えてください。(複数選択可)
・適切なシナリオの準備が難しい
・本当に訓練したい人(幹部やキーマン)を集められない
・準備の稼働不足
・形式だけの訓練になってしまう(効果が薄い)
・コストがかかる(外注費含む)
・わからない
Q6.インシデント対応にで最も難しい/大変だと思うことは何ですか?
Q7.インシデント対応をする際の心構えとして、何が一番大事だと思いますか?
Q8.インシデント対応にAIを活用していますか?
・はい(積極的に)
・はい(部分的に)
・いいえ
・わからない、対象外
Q9.その他、インシデント対応に関して、感じることがあれば何なりと記載ください。
