1.インシデントとCSIRT
1.1 セキュリティインシデントとは
セキュリティインシデントとは、不正アクセスや情報漏洩など、セキュリティが脅かされる事象である。インシデントには外部の攻撃者によるものもあれば、内部の犯罪者によるものもある。また紛失や設定ミスなどのヒューマンエラーに起因するもある。
ISO/IEC 27035-1:2016によると、情報セキュリティインシデントの定義は、「組織の資産に損害を与える可能性のある情報セキュリティ事象」である。つまり、実際に情報漏洩が起きたかどうかにかかわらず、起きたかどうか「疑わしい」段階もセキュリティインシデントに含まれる。結果的に、勘違いであった場合もセキュリティインシデントと言える。
1.2 CSIRT(Computer Security Incident Response Team)
CSIRTは、セキュリティインシデント対応の専門チームで、コンピュータセキュリティインシデントの予防、検出、および対応のサービスとサポートを提供する。
また、多くの場合、CSIRTのメンバーは、専属チームの場合もあれば、CSIRT業務以外に、別の業務を兼務している場合が多い。よって、CSIRT業務に専念できない難しさもある。
2.インシデント対応について
2.1 サイバー攻撃について
サイバー攻撃は年々増加し、最近ではAIを使ったもの、クラウドやテレワークを狙ったものなど、攻撃が複雑化、多様化している
2.2 インシデント対応の困難性
・インシデント発生時の意思決定の判断は簡単ではない。故障や災害のように故障したことや地震が起きたことが明確であればわかりやすい。インシデントの場合は、巧みに攻撃をされると、本当に攻撃されたかどうかがわからないことも困難性を高めている要因の一つである。
・NISTの「コンピュータセキュリティインシデント対応ガイド」でも「多くの組織にとって、インシデント対応プロセスの最も難しい部分は、事件を正確に検知して評価すること」と述べられている。
・セキュリティインシデント対応およびその意思決定が簡単ではない理由を、災害対応の例などを参考に、以下に整理する 。
(1)時間的制約
・救急医療の現場や災害対応と同じで、時間的な制約がある。たとえば、医療であれば、即座に処置をしないと命が失われてしまう。セキュリティインシデントにおいても、事前に予測不可能な攻撃、インシデントが突然やってくる。しかも、短時間に対処をしないと大規模な情報漏洩につながってしまう。
・インシデント対応に求められる迅速性
Crowdstrike社は,「検知」から「封じ込め」までの時間を1時間以内にすべきと提唱している。しかし、実際には平均162時間を要していたと述べている
CrowdStrike Report Uncovers Organizations Globally Take 162 Hours On Average to Detect and Respond to Breaches (online), available from〈https://www.crowdstrike.com/press-releases/crowdstrike-study-finds-organizations-take-over-162-hours-to-detect-respond-to-breaches/〉
(2)リスク評価の困難性
「故障」は、故障したことが明確な場合があることが多い。「災害」の場合も同じである。一方、「インシデント」は、本当に攻撃されたかどうかが判断できない場合がある。その理由は以下である。
❶大量のログ
事実確認のためにログを調査するが、ログは大量に存在する。ログは、正常な動作に関しても記録を残すからである。そして、リスク有りとしたログも、ほとんどは、攻撃が未遂の終わったログである場合が多い。
❷攻撃者が痕跡を残さない
ログは、攻撃者の行動をすべて記録しているわけではない。さらに、攻撃者は巧妙で、攻撃の痕跡を残さないように攻撃する(または、自らログを消去する)こともある。zdnetの記事[37]では、「法人や団体がサイバー攻撃を受けた「発生日」から、攻撃に気づいた「発覚日」までに平均349日を要していることが分かった」とあり、調査だけでなく、そもそも攻撃を検知することも簡単ではないことがわかる。
❸情報の不確実性
情報の不確実性として、たとえば、利用者の報告の不確実性がある。利用者の勘違いやITリテラシーの低さから、正確な情報が得られない可能性である。ときに、社内規定による懲罰などを恐れて正確な情報を伝えない、エスカレーションをしたくない(面倒など)ので報告しない、または、知識レベルの差や、海外の場合は言語や時差などによってコミュニケーションが正しく行えない可能性などもある。
❹新種の攻撃
災害と比べて、被害のパターンが非常に多く、新種の攻撃もある。時代や環境の変化に応じてサイバー攻撃も変化する。攻撃パターンが複雑であったり、新種の攻撃の場合、その攻撃への対応は簡単ではない。
(3)体制の不十分さ
攻撃されたかやどれだけの影響範囲なのかなどについては、専門家による分析が必要である。Reedらの研究でも、インシデント対応に必要な要素として、「専門知識」「業務の理解」「解析のためのツールの習熟」が必要としている。
※ Reed T.Abbott R. G.[...]Forsythe C. Simulation of workflow and threat characteristics for cyber security incident response teams, Proceedings of the Human Factors and Ergonomics Society,427-431,2014
しかし、多くの企業では、高度なスキルを持った人材が不足している。攻撃されたかやどれだけの影響範囲なのかなどについては、専門家による分析、場合によってはフォレンジック解析が必要である。しかし、多くのCSIRTでは、高度なスキルを持った人材はそれほど多くは存在しない。仮に存在したとしても、CSIRTはお金を稼ぐ組織ではないから、優秀な人材はCSIRTには配属されないこともある。仮にスキルを持った優秀な技術者がCSIRTに存在しても、本来業務が忙しく、毎日のように発生する攻撃の解析に時間を割くことが難しいことも多い。
NISTの「コンピュータセキュリティインシデント対応ガイド」には、「検知をある程度簡単にする技術的な解決法はあるものの、最善の対策は、前兆や兆候を効果的かつ効率的に分析し、適切な行動をとることのできる、十分な経験を持った熟練したスタッフメンバーからなるチームを編成すること」とある。しかし、現実には熟練したスタッフを準備することが難しい。
さらに、インシデント対応に関しては、セキュリティの専門家の存在だけでは不十分である。組織としてのリーダーシップも求められる。Frey S.Rashidらの研究では、セキュリティの専門家が対応した方が必ずしも最善とは限らなく、俯瞰的に見るなどのバランスも必要である。Ioannouらは、インシデント対応は、コミュニケーションが取れて協力できるチーム体制が求められると述べている。このように、インシデント対応に十分に対応できる組織を作る難しさがある。
※The Good, the Bad and the Ugly: A Study of Security Decisions in a Cyber-Physical Systems Game, Frey S.Rashid A.[...]Naqvi S. A. IEEE Transactions on Software Engineering (2019)
※Marios Ioannou, Eliana Stavrou, Maria Bada. Cybersecurity culture in computer security incident response teams: Investigating difficulties in communication and coordination,2019 International Conference on Cyber Security and Protection of Digital Services, Cyber Security 2019,2019.
2.3 インシデント対応のプロセス
インシデント対応は「準備」「検査と分析」「封じ込め、根絶、復旧」「事件後の対応」の4つのプロセスがあります。
(出典:IPA「コンピュータセキュリティ インシデント対応ガイド」 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000bd3p.pdf )
3.インシデント発生時の対応
3.1 発生時の考え方
※あくまでも個人的な見解なので、組織によって異なると考えてください。
インシデント対応を全てをマニュアル化・定型化することはできません。それに、予期せぬ事態が起こり、なおかつ緊急事態ですから、分厚いマニュアルを読んでいる時間はありません。
そこで、インシデント対応時に実施すべきことの「考え方」を組織内で合意しておきましょう。
①事実確認
何が起こっているのかを、なるべく正確に判断する。※ただし、正確性のために時間をかければいいというものではない。
②判断権限を有する人へのエスカレーション
社員が個人的な考えで判断せずに、権限を持つ人に早急に報告する。
③被害の拡大防止
抜線やFWでの通信の拒否などにより、被害を早期に封じ込める。また、被害が顕在化した場合、2次被害の拡大防止も重要である。
3.2 【補足】インシデント対応時の注意点
上記の考え方に加え、インシデント対応時には、以下も意識してください。
①複数人での対応
事実確認や報告などの作業者と統制者を分けるなど、インシデント対応が適切に行える体制で実施する。
②証拠保全
何が起こったかを理解し、今後同じ攻撃を受けないようにするため
③サービス継続の検討
サービスを止めていいなら迷わず停止だが、現実的には、サービスを継続しながらの対応を求められる場合がある(他部門との信頼関係のためにも重要な意識)。ただし、この判断を間違えると重大なインシデントにつながるリスクがある。
3.3 インシデント対応の準備:ファースト9ステップ
CSIRTを構築後、まだインシデント対応のプロセスや準備ができていない組織における、最初にやるべきであろうファーストステップを記載します。
中でも、インシデント対応のために特に重要と考えられる9つを記載します。※こちらも私の個人的見解であり、組織のよって大きく変わると思います。
(1)検知
・検知できる仕組みの構築
機器のログを取得する(FWは許可ログも取得)、アラートの設定、SIEMなどの各種システム構築、など
・PoCとして、利用者からの報告できる仕組みの構築
受け付けるメールアドレス、電話、Webサイトなどを決定。
(2)対応
・インシデント対応プロセスの整理
インシデントが発生したときのプロセス、フロー、対処策の整理(抜染やFWによる防御、社内への連絡など)
・システムおよび情報資産の整理と理解
どんなシステムがどこにあって、どれだけ重要かを把握し、適切なリスク評価や対応につなげる
・CSIRTとして、連絡先の整理
社内の報告窓口(営業部門、広報部門、最終意思決定者)、ベンダ、所掌官庁等など
(3)体制
・予算・人員の確保
専門性を持った人材の確保、セキュリティ対策の機器を構築する予算を確保
・インシデント対応をする組織、人の決定
部署名と担当者、最終意思決定者の決定。
・組織内への周知
作成したマニュアルやPoC連絡先などを社内周知。定期的な勉強会や訓練なども活用して定期的に再周知
・経営層の承認
上記の内容を経営層に承認をもらい、実効性を確保
4.インシデント対応のWEST-SEC
・7/15(火)19時~21時、オンライン
・当日のタイムスケジュール(予定)
| 項番 | 時刻 | 内容 | 講師 |
|---|---|---|---|
| Program0 | 18:55〜 | 部屋解放 | |
| Program1 | 19:00〜19:20 | ・アンケートの依頼 ・攻撃の迅速化とインシデント対応のあるべき姿 昨今のサイバー攻撃の高速化により、いかに迅速に対処することが必要か、またインシデント対応のやや教科書的な話 https://west-sec.com/entry/ir |
粕淵 |
| Program2 | 19:20〜19:50 | Y社の事例なども踏まえて | Hさん |
| (休憩) | 19:50〜19:55 | ||
| Program3 | 19:55〜20:00 | アンケート結果の公開 | 粕淵 |
| Program3 | 20:00〜20:30 | お任せします | Sさん |
| Program4 | 20:30〜20:50 | 検討中。 案1:パネルディスカッション 案2:もう一人くらいお呼びする 案3:インシデント対応のLT |
Hさんで調整中 |
| Program5 | 20:50〜21:00 | 質疑 、アンケートなど |
5. アンケート
Q1. 現在の仕事について、最も近いものをお選びください。
・CSIRTなど、インシデント対応に直接かかわる業務を行っている
・インシデント対応は行っていないが、セキュリティ関連の業務を行っている
・セキュリティ業務にはほとんど関わっていない社会人
・学生
・その他
Q2.インシデントが発生したときに、あなたの会社のCSIRT組織はどの役割になっていますか?
当てはまるものをすべて選択してください。
・消防署(消火を助ける)
・警察官(事件の処理対応)
・裁判官(何が原因だったのかを裁く)
・野次馬(責任を持たない)
・その他、不明
Q3.最近のインシデントで最も多いものを教えてください。
Q4.インシデント対応能力は、どうやったら身に付くものと思いますか?(複数回答可)
・セキュリティインシデント対応の経験
・セキュリティやインシデント対応に関する知見・知識
・インシデント対応に関する研修などによる教育や演習などの訓練
・長年の業務経験(インシデント対応・セキュリティ業務に限らず)
・本人の資質によるところが大きい
・その他
Q5.インシデント対応演習(訓練)の課題を教えてください。(複数選択可)
・適切なシナリオや環境、インシデント事例の準備が難しい
・本当に訓練したい人(幹部や、システムや対応のキーマン)を集められない
・本来業務が忙しく、準備の稼働・人員がいない
・形式だけの訓練になってしまう(効果をあまり感じない)
・訓練をうまく調整できる人がいない
・実施や準備にコストがかかる(外注費含む)
・その他、不明
Q6.インシデント対応にで最も難しい/大変だと思うことは何ですか?
Q7.インシデント対応をする際の心構えとして、何が一番大事だと思いますか?
Q8.インシデント対応にAIを活用していますか?
・はい(積極的に)
・はい(部分的に)
・いいえ
・わからない、対象外
Q9.その他、インシデント対応に関して、感じることがあれば何なりと記載ください。
