• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

実践、セキュリティ事故対応

[第4回]1日でマルウエアを丸裸にする 賢い2次対応で信頼されるCSIRTに

市田 達也=リクルートテクノロジーズ 2015/11/19 日経コンピュータ
出典:日経コンピュータ 2015年10月29日号pp.82-85
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

前回に続いて、組織がマルウエアに感染した際の対応を解説する。「2次対応」ではマルウエアを解析し、影響を調査し、再発防止につなげる。だが攻撃者は解析を避けるあの手この手を打ってくる。敵の手口を知った上で素早くかつ深く解析する腕を磨こう。

 マルウエア(悪意のあるソフトウエア)感染が分かった時のインシデント(セキュリティ上の事故)対応として、前回は「1次対応」を解説しました。感染PCをネットワークから隔離すると共に、攻撃者が操る外部の「C&Cサーバー」やマルウエア配布サイトへの通信を遮断する1次対応は、どんな組織でも必要不可欠です。

 さらなる感染の拡大を防ぐ1次対応だけでは、マルウエア感染による全てのリスクを排除できません。さらに深くインシデントを調べる「2次対応」が必要です。これにより「マルウエアの悪意のある働きは検知できた通信に関わるものだけか」「内部で感染が広がっていないのか」「既に何らかの情報が外部に漏洩しているのではないか」といった疑問に明確に回答できるようになります。

2次対応でCSIRTの信頼も上がる

 2次対応はCSIRT(情報セキュリティインシデント対応チーム)の評価を高めることにもつながります。1次対応の後、よくPC利用者からこんな声が上がりがちです。「いつまでネットワークから隔離するのか。仕事ができないじゃないか」「遮断先は業務でアクセスが必要だ。なんとか我々の部署だけでもアクセスさせてくれないか」。

 「セキュリティ上のルールですので、ご了承ください」とも説明できますが、こう突き放してはPC利用者との信頼関係は築けません。PC利用者からの通報はインシデント対応のきっかけでもあり、信頼関係は大切です。

 2次対応で感染原因や感染経路、マルウエアの内容、情報漏洩の有無などをきちんと、素早く特定すれば、利用部門に脅威やリスクの大きさを丁寧に説明しながら、なぜ隔離や遮断を続ける必要があるのかを具体的かつ合理的に説明できます。対処に納得感を持ってもらえ、結果的にCSIRTへの信頼感を高めてもらえます。2次対応の時間はマルウエア1個につき1日(8時間)をめどにして、解析が難しければ外部と連携しましょう。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 2次対応は、今後の対策レベルを高めるためにも有効...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【東京五輪のワクワクIT】

    テストは20万時間、東京五輪ITシステムの舞台裏

     あと3年に迫った2020年の東京オリンピック・パラリンピック。「絶対に遅れることはできないし、稼働後の不具合も許されない」という五輪向けのシステムをどう構築しているのか。欧州Atosで東京五輪向けシステム構築プロジェクトを率いるセイレッシュ・チョーハン氏にプロジェクトマネジメントのポイントを聞いた…

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る