• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

実践、セキュリティ事故対応

[第3回]猛威振るう「マルウエア」 インシデント対応の王道

安東 美穂=リクルートテクノロジーズ、櫻井 祐亮=リクルートテクノロジーズ 2015/11/18 日経コンピュータ
出典:日経コンピュータ 2015年10月15日号pp.64-67
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

監視部隊が検知した「不審な通信」の中身を見極めるのがCSIRTだ。今回はその調査方法と被害復旧について手順とポイントを解説する。マルウエアをばらまくサーバーだけに気を取られてはいけない。PC内部を暗号化して身代金をゆする「ランサムウエア」も要注意だ。

 インシデント(セキュリティ上の事故)対応を担当するチームであるCSIRT(Computer Security Incident Response Team)は、セキュリティ機器などの監視を担当するチームであるSOC(Security Operation Center)がサイバー攻撃を検知すると、それを引き継いで調査から復旧までを担当します。今回はCSIRTの主要業務ともいうべき、一連の流れを具体的に解説します。後半では感染による被害が増加しているマルウエア(悪意のあるソフトウエア)である「ランサムウエア」の実態や対処方法を掘り下げます。

誤検知・過検知は起こりうる

 CSIRTは自組織で構築することが一般的です。ですが、セキュリティ機器が多様化して運用も高度化・複雑化しているため、SOCについてはセキュリティ会社などに外部委託している組織も多いでしょう。

 また、組織の規模が大きいほど担当部署が細分化する傾向があり、プロキシーサーバーやファイアウォールの運用を担当している部署、ユーザー対応を担う部署などが分かれがちです。SOCが攻撃を検知した後、スムーズに連携できるよう、事前に各部署の役割と対応プロセスを明確にしておくことが、大前提として欠かせません。

 サイバー攻撃の侵入を防ぐ「入口対策」と情報漏洩を防ぐ「出口対策」の必要性が増し、セキュリティ機器の増設が進んでいることと思います。SOCは特に通信を監視するセキュリティ製品のログなどを分析して、外から内、内から外の両方で不審な通信が発生していないかを随時監視します。

 監視製品は不審な通信を検知するとアラートを上げ、SOCはそのアラート内容を確認してCSIRTに伝達します。CSIRTはそこからインシデント対応を開始します。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ まず取り組むべきは不審な通信を発信したPCの特定...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る