インシデント発生時の対応
インシデントが発生した時に慌てず行動するために
組織のセキュリティ担当者にとって、サイバー攻撃やセキュリティ事故などのインシデント発生に備え、やるべき行動をルール化しておくことが大切です。
以前にも紹介した経済産業省が公開している「サイバーセキュリティ経営ガイドライン」ー「付録C インシデント発生時に組織内で整理しておくべき事項」には、初動対応から事後対策までのフェーズごとに、調査・記録する内容が具体的に示されていて、とても参考になります。
この中から注目したい項目を紹介します。
初動対応フェーズ
インシデントの分類
ウィルス感染、不正アクセス、(D)DoS攻撃のいずれかを分類
事案の公表
顧客や一般(マスコミ)に対し公表するかどうか
原因調査フェーズー情報漏えい
経路
外部ネットワーク経由による第三者によるものか、内部ネットワーク経由の内部犯行によるものか
情報漏えいしたデータ
データの内容と件数、個人情報を含む場合は「顧客情報」「従業者情報」「その他の個人情報」に分類、営業秘密情報の場合はその影響
また、それらのデータが暗号化されていたか
漏えい元・漏えいした者
漏えい元に関する情報、漏えいに関わった者、及び、意図や過失
情報所有者への対応
連絡済みかどうか、対応内容(カード差し替え、詫び状・商品券配布、警察への届出)、二次被害有無
原因調査フェーズーウィルス感染
経路
メール、Webアクセス、可搬媒体(USBメモリなど)
- メールの場合、日時や件名、添付ファイル、メール本文内のリンクなどの情報
- Webアクセスの場合、日時、URL、Webサイトの脆弱性、ファイルダウンロードなどの情報
ウィルスの情報
- アンチウィルスソフトで検出した場合、検出名、及び、アンチウィルスソフトの名称、パターンファイルのバージョン
- 圧縮ファイルの場合、ファイル名、ハッシュ値(MD5、SHA1、SHA256など)
- スクリプト、マクロ、実行形式ファイルの場合、実行後の接続先情報(ドメイン、IPアドレス、URL)
原因調査フェーズー不正アクセス
経路
利用された脆弱性識別番号(CVE番号など)、認証(Web、FTP、SSHなど)サービス名など
攻撃元情報
不正アクセスの攻撃元のドメイン、IPアドレスなど
改ざん
Webサイト改ざん、ウィルス配布、追加ファイル設置、(D)DoSボット、DNS改ざんなどの種別
メール不正中継踏み台
送信されたメール件数、内容(件名、本文など)
原因調査フェーズー(D)DoS攻撃
犯行声明
予告・事後の犯行声明有無、媒体(メール、SNS、Webサイトなど)、内容
攻撃手法
利用されたプロトコル、ログ、攻撃の通信量・リクエスト数
影響範囲
システムの停止時間、金銭的損失、影響を受けたユーザ、Webサイトなど
事後対策フェーズ
再発防止策
組織的・人的安全管理措置、物理的・技術的安全管理措置に分けて検討
インシデント発生時の対応に備えるだけでなく、日常的にこのような公開情報に目を通す習慣を身につけておくことは、エンジニアとして研ぎ澄まされていくことになると思います。
