監視部隊が検知した「不審な通信」の中身を見極めるのがCSIRTだ。今回はその調査方法と被害復旧について手順とポイントを解説する。マルウエアをばらまくサーバーだけに気を取られてはいけない。PC内部を暗号化して身代金をゆする「ランサムウエア」も要注意だ。

 インシデント(セキュリティ上の事故)対応を担当するチームであるCSIRT(Computer Security Incident Response Team)は、セキュリティ機器などの監視を担当するチームであるSOC(Security Operation Center)がサイバー攻撃を検知すると、それを引き継いで調査から復旧までを担当します。今回はCSIRTの主要業務ともいうべき、一連の流れを具体的に解説します。後半では感染による被害が増加しているマルウエア(悪意のあるソフトウエア)である「ランサムウエア」の実態や対処方法を掘り下げます。

誤検知・過検知は起こりうる

 CSIRTは自組織で構築することが一般的です。ですが、セキュリティ機器が多様化して運用も高度化・複雑化しているため、SOCについてはセキュリティ会社などに外部委託している組織も多いでしょう。

 また、組織の規模が大きいほど担当部署が細分化する傾向があり、プロキシーサーバーやファイアウォールの運用を担当している部署、ユーザー対応を担う部署などが分かれがちです。SOCが攻撃を検知した後、スムーズに連携できるよう、事前に各部署の役割と対応プロセスを明確にしておくことが、大前提として欠かせません。

 サイバー攻撃の侵入を防ぐ「入口対策」と情報漏洩を防ぐ「出口対策」の必要性が増し、セキュリティ機器の増設が進んでいることと思います。SOCは特に通信を監視するセキュリティ製品のログなどを分析して、外から内、内から外の両方で不審な通信が発生していないかを随時監視します。

 監視製品は不審な通信を検知するとアラートを上げ、SOCはそのアラート内容を確認してCSIRTに伝達します。CSIRTはそこからインシデント対応を開始します。