日増しに高まるサイバー攻撃の脅威は経営も脅かし、対策が急務だ。とはいえ、対策現場は予算も人もノウハウも足りないのが実情。リクルートグループ各社にセキュリティ支援するための仮想組織「Recruit-CSIRT」のメンバーが、実践的で具体的なセキュリティ事故対応の方法を解説する。
連載
実践、セキュリティ事故対応
目次
-
[最終回]現場からの感謝がCSIRTの原動力 経営層の信頼は事故対応で勝ち取る
インシデント対応を取り仕切るCSIRTの構築が相次いでいる。本連載の最終回となる今回はCSIRT運営の勘所を解説する。現場からの感謝を引き出して多忙なメンバーのモチベーションを高め、経営判断に資する適切な事故報告で経営層の信頼を得ていこう。
-
[第19回]厄介さ増すDDoS攻撃 事業リスクに応じて対策を選ぶ
悪意のある問い合わせを送り付けてWebサイトをダウンさせるDoS攻撃。正規のアクセスと区別しにくくしたり、攻撃量を数十倍に増幅させたり、手法の巧妙さは増し、ビットコインをゆする攻撃者集団も出てきた。製品・サービスでの対策も可能だが、「過ぎるのを待つ」対策も検討しよう。
-
[第18回]見抜きにくくなったリスト型攻撃 四つの対策で攻撃を封じ込める
パスワードの使い回しが引き起こす「パスワードリスト攻撃」。2013年ころから本格化し、手口は巧妙化する一方だ。各所の啓発活動は続くが使い回しは無くならない。攻撃が成功することを前提に、パスワードのハッシュ化などで対策しよう。
-
[第17回]事故を未然に防ぐ脆弱性検査 手法や観点を変えてあぶり出す
CSIRTの活動ではセキュリティ事故の事後対応ばかり注目されがちだが、事故を未然に防ぐ働きも欠かせない活動の一つである。事故防止に効くのが脆弱性の有無を確認する「脆弱性検査」だ。アプリケーションとインフラに分け、複数の検査で逃さず検出しよう。
-
[第16回]パッチマネジメントの天敵は形骸化 定期的に確認できる体制に
今回も脆弱性を適切に修正する「パッチマネジメント」を解説する。パッチマネジメントは有事に重要だが、平時は地味な作業の積み重ねで、管理者から作業者までのセキュリティ意識が管理品質に直結する。何をどう管理するかを合意し、確認体制を整えて形骸化を防ごう。
-
[第15回]脆弱性をパッチで適切に塞ぐ 適用には慎重さ必要
脆弱性を適切に修正するためのパッチマネジメント。サイバー攻撃対策として基本中の基本だが簡単な作業ではない。パッチ適用による悪影響を最小限に抑える慎重さと入念さが求められる。パッチの無い脆弱性の回避策も含め、日ごろの準備が欠かせない。
-
[第14回]脆弱性の公開日から攻撃は始まる 不断の情報収集で事故を未然防止
サイバー攻撃の足掛かりとなるのがソフトの脆弱性。攻撃者は脆弱性が見つかった日から攻撃を仕掛けてくる。今日は脆弱性の無い安全なシステムでも、明日は分からないのが現状だ。脆弱性情報の収集を日々怠らず、事故の未然防止に注力しよう。
-
[第13回]悪質化するフィッシングと偽サイト サイト利用者の保護が最優先
Webサイト利用者を巧みにだますフィッシングサイトや偽サイト。古典的なサイバー犯罪手法だが、手口は今も巧妙化し続けている。自組織のWebサイトもいつ悪用され、巻き込まれるか分からない。サイト利用者保護を優先しつつ、外部機関と連携しながら閉鎖に動こう。
-
[第12回]全てのWebサーバーが狙われている 攻撃の監視は厳しめに
Webアプリケーションへの攻撃対応を解説する3回目である。サイバー攻撃を見過ごせば情報漏洩など重大事故につながりかねない。従来のファイアウォールだけではもう防げない。検知に向く防御製品や監視センターを追加し、監視体制を強化しよう。
-
[第11回]Web改ざん攻撃はCMSに要注意 早期発見は六つの事前対策で
Webサイトへの攻撃対応を前回に引き続き解説する。Web改ざんは「見えない改ざん」へと巧妙化してきている。狙われやすいのはCMS(コンテンツ・マネジメント・システム)の脆弱性だ。事故対応の基本となる早期発見に向け、事前準備を徹底しよう。
-
[第10回]自社Webサイトが攻撃を受けたら… 対策製品を過信せずにログを分析
Webアプリケーションが攻撃されるセキュリティ事故が相次いでいる。ログイン情報が盗まれたり情報漏洩につながったりする厄介な攻撃だ。今回からWebアプリケーション攻撃への対応策を解説する。対策製品は有用だが100%ではないため、3段階で痕跡を探し出そう。
-
[第9回]内部不正の調査は被疑者の目線で 痕跡を探し本人にもヒアリング
前回に引き続き内部不正のセキュリティ事故対応を解説する。機密情報の持ち出しの証拠をつかむコツは被疑者の立場で調べることだ。フォレンジック(コンピュータ鑑識)だけでなく、被疑者へのヒアリングも組み合わせて犯行の全容を明らかにしよう。
-
[第8回]データ持ち出しなどの「内部不正」 調査の過程は事細かに証拠に残す
大規模な情報漏洩を引き起こしかねない内部不正。サイバー攻撃と並ぶセキュリティ事故であり適切な対処が必要だ。内部不正は訴訟に発展しかねないだけに、証拠保全が大切になる。法律家と協議して調査の手順を固め、調査ログも全て証拠に残そう。
-
[第7回]通信パケットが残す攻撃の足跡 ツール使い被害を正しく分析
前回に引き続き、マルウエア感染のインシデント対応で“最後の砦”となる「デジタルフォレンジック(コンピュータ鑑識)」を解説する。その一つのネットワークフォレンジックは何が漏洩したか明らかにする。攻撃者の隠ぺい工作の手口を知って解析を進めたい。
-
[第6回]マルウエアの痕跡暴くデジタル鑑識 感染PCをすぐに“現場保全”すべし
今回は、マルウエア感染におけるインシデント対応を掘り下げる。紹介するのは、マルウエアの活動の痕跡を感染PCから探し出し、丹念につなげていく「デジタルフォレンジック」と呼ばれる手法だ。
-
[第5回]日本を襲う標的型マルウエア 巧妙すぎる正体を暴く
適切なサイバー攻撃の対応には敵の手の内を知ることが欠かせない。昨年から日本の多くの組織が標的型攻撃に狙われ、被害が出ている。今回は標的型攻撃で使われるマルウエア「Emdivi」の攻撃をひも解く。攻撃者は巧みにEmdiviを正規のファイルに隠して送り込んでくる。
-
[第4回]1日でマルウエアを丸裸にする 賢い2次対応で信頼されるCSIRTに
前回に続いて、組織がマルウエアに感染した際の対応を解説する。「2次対応」ではマルウエアを解析し、影響を調査し、再発防止につなげる。だが攻撃者は解析を避けるあの手この手を打ってくる。敵の手口を知った上で素早くかつ深く解析する腕を磨こう。
-
[第3回]猛威振るう「マルウエア」 インシデント対応の王道
監視部隊が検知した「不審な通信」の中身を見極めるのがCSIRTだ。今回はその調査方法と被害復旧について手順とポイントを解説する。マルウエアをばらまくサーバーだけに気を取られてはいけない。PC内部を暗号化して身代金をゆする「ランサムウエア」も要注意だ。
-
[第2回]巧妙なマルウエアから組織を守れ 防御の弱点を知り抜け道を塞ぐ
サイバー攻撃対応を実践的かつ具体的に解説する本連載。2回目は、マルウエアへの対策を取り上げる。アンチウイルス製品だけでは守り切れない。様々なサーバーを監視しつつ、周囲の力も生かして総合的に対処しよう。
-
[第1回]何よりまずはCSIRTを立ち上げる セキュリティ人材不足にも先手を
日増しに高まるサイバー攻撃の脅威は経営も脅かし、対策が急務だ。とはいえ、対策現場は予算も人もノウハウも足りないのが実情だろう。今回からリクルートグループのセキュリティ対応チームが、実践的で具体的なセキュリティ事故対応の方法を解説する。
