マルウェアへの感染やSQLインジェクションのようなWebサイトを狙った攻撃、フィッシングサイトでの情報漏えい、ランサムウェアによる業務妨害など、コンピューターセキュリティを脅かす事象は数多く存在します。最近ではクラウドからの情報漏えいも増えており、仮想化通貨のマイニング攻撃という新たな脅威も登場しています。その一方で、内部関係者の過失による情報漏えいも跡を絶ちません。このような脅威に適切に対応することは、コンピューターを利用している企業や組織にとって避けて通れない課題だといえるでしょう。
そのために必要になるのが「インシデントレスポンス」と呼ばれる活動です。セキュリティを脅かす事象(インシデント)は必ず起きるという前提に基づき、インシデントの拡大を防ぐための事後対応(レスポンス)を、迅速かつ確実に行う必要があるのです。
「セキュリティインシデントは未然に防ぐべきものであり、これを達成することが最重要」だと考えている方もいらっしゃるかもしれません。もちろんインシデントを防ぐことも重要です。しかしそれを完璧に行うことは不可能です。人間が作成したものである以上、コンピューターシステムも完璧なものではありえないからです。プログラムには常にバグが内在し、設定のミスによってセキュリティホールが生まれる危険性もあります。そしてそれらを利用しているユーザーも人間であり、常にヒューマンエラーが発生する余地が存在します。インシデント防止とインシデントレスポンスは、いずれも必要なものなのです。
インシデントレスポンスを適切に行うには、まず自分たちの組織にとって何が「インシデント」なのかを理解する必要があります。そのためには、コンピューターシステムで守るべきもの(例えば、顧客情報やサービスの安定稼働など)とその中での優先順位を明確にした上で、これらに影響を与える事象としてどのようなものが考えられるのかをリストアップし、それぞれがもたらすダメージを明確化する、という取り組みが必要です。
参考までに、コンピューターセキュリティインシデントに関する対策検討や助言などを行う中立組織「JPCERTコーディネーションセンター(JPCERT/CC)」では、インシデントを「情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象」と定義しており、その例として「情報流出、フィッシングサイト、不正侵入、マルウェア感染、Webサイト改ざん、DoS(DDoS) 攻撃など」を挙げています(※1)。これらの例は考慮すべきインシデントの一部であり、他にもさまざまな事象をインシデントとして挙げることができるはずです。
※1:http://www.jpcert.or.jp/aboutincident.html
インシデントレスポンスは事後対応ですが、これを適切に行うには事前の準備も重要です。緊急時の連絡体制や連絡方法、保護すべきデータのバックアップ運用、復旧手順、ログの取得方法等を決め、システムへの機能追加や運用プロセスへの組み込みを行っておくべきです。
またインシデント発生時には、以下のような手順で対応を行うといいでしょう。
インシデントの発見
ログのチェックや利用者からの報告・問い合わせなどの情報源を活用しながら、不審な事象をできる限り早い段階で検知します。
初期対応
インシデントを発見したら、その影響を最小化するための処置を行います。マルウェア感染であれば感染端末の切り離し、外部からの攻撃であればそれに関係する通信の遮断などが考えられます。
関係者への連絡
インシデントが発生したことを、関係者に連絡します。コンプライアンス上必要であれば、組織内外への公表も検討しなければなりません。
復旧
インシデントの影響を受けたシステム要素を復旧させます。例えばデータが破壊されたのであればバックアップからのリストア、マルウェア感染であればマルウェアの駆除などを行います。なお復旧作業を行う際には必ず責任者を明確にし、できる限り事前に決めた手順で実行すると共に、作業内容の記録を残すようにします。
再発防止策の検討
インシデントの再発を防止するため、運用・監視体制や運用手順、利用ポリシーなどの見直しを行います。
JPCERT/CCへの報告
JPCERT/CCへの報告を行うことで、インシデントに関する知見を幅広く共有できるようになり、他の組織での対応に役立てることができます。
これらの中でも特に重要なのが、Step1とStep2だといえるでしょう。インシデントをいち早く発見し、迅速に初期対応を行うことで、影響範囲を最小限に抑えることが可能になり、その後の対応も容易になるからです。そのためのツールとしてぜひ活用したいのが、EDR(Endpoint Detection & Response)を実装した次世代アンチウィスル製品です。
例えばCarbon Black社は、エンドポイントで発生する「イベントの流れ=イベントストリーム」をリアルタイムで分析し、セキュリティ侵害の可能性を評価するという、独自の「ストリーミングプリベンション技術」を開発、これを次世代アンチウイルス製品「CB Defense」に実装しています。これによって、従来のアンチウイルスでは検出が難しかったゼロデイ攻撃も検出可能になっているのです。また最近ではマルウェアを使わない「ファイルレス(非マルウェア)攻撃」も増えていますが、これへの対応も可能。攻撃の経路や影響の可視化も容易です。
迅速なインシデント発見と初期対応を実現するには、人によるログの分析だけでは限界があります。このようなテクノロジーを積極的に活用することも欠かせないのです。
インシデントの早期発見、迅速な初期対応で影響範囲を最小限に抑えることができるのがCB Defenseです。(CB Defenseページに移動)
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら