JNSAメールマガジン 第66号 2015.7.31☆★☆
(一般社団法人JPCERTコーディネーションセンター早期警戒グループ
情報セキュリティアナリスト 松田 亘
情報セキュリティアナリスト 青木 翔)
最終回の今回は、CSIRTの運用における留意点についてです。第2回での「消防団」の例えは、運用編でも同様に用いることができます。消防団の活動では、消火方法の選定から消火機材の正しい利用方法の訓練を行い、いざとなれば実際の消火を着実にこなして延焼を防ぐなど、消火の初動対応における活動が重要となります。サイバー空間におけるインシデント対応活動もまさに、被害を最小化し、事業を継続可能な状態にするために、いかに早期の復旧回復を図るかに重点が置かれます。第3回では、特に日々巧妙化しつつあるインシデントに対応するための運用の視点と、社内でCSIRTの存在意義をアピールし、体制・連携を強化していく視点。この2つの視点について説明します。
CSIRTによる実インシデント対応においては、インシデント対応のフローの事前の整備状況と、組織全体のセキュリティ対策と従業員のセキュリティ意識をどれだけ高めておけるかで対応スピードが大きく変わってきます。CSIRTメンバーの全体のセキュリティ対策やインシデント対応に関する知識を高めるだけでなく、インシデントに対する事前の調査材料を整え、インシデント発生時にフローに従ってスムーズに対応できる環境を整えることによって、インシデント対応時の組織内の混乱を防ぎ、被害の最小化を図り、早期に解決することが可能になります。ここでは、「インシデントに対する事前の準備」「連絡体制の最新化、緊急時対応の手順の確認」「インシデント情報の管理」についてお話します。
組織内システム構成や、OS、アプリケーションのバージョンを把握することは重要です。
それは脆弱性情報が公開された際、組織内のシステム構成やバージョンの確認を実施することで、迅速に対応の要否を判断することが可能となるからです。また、ネットワーク上のトラフィックやログが平常時はどうなっているかを常に把握しておけば、インシデント発生時には平常時と異常時と比較することで、インシデントの予兆を発見できる可能性があります。
インシデント発生時には、サービスへの影響を最小化することが重要となります。インシデントが発生した際、対応が遅れることで被害が拡大し、結果としてサービスへの影響も大きくなります。事前にインシデント対応手順を整備し、いざインシデントが発生した際に迅速に対応できる環境をあらかじめ準備しておく必要があります。迅速な情報共有はもちろんのこと、CSIRT内での調査の対応手順、業務範囲を超える際の調整の手続き、特に最終決定権限が誰にあるのか、他部門との連携に関する取り決め等、をできるだけマニュアル化し、常に最新の状態にしておくことが重要です。
インシデントに関する情報共有については機微な情報であることが多く、その機密性から間違って組織外や関係のない部署等へ流れる危険性も想定し、情報の共有にあたってはその対象者や情報の粒度、取り扱い方法などの運用を慎重に検討すべきです。情報セキュリティの分野では、情報の共有範囲を示すために「TLP(TrafficLight Protocol) 」という分類手法が使われる場合があります。定義の詳細は様々ですが例えば、
有事の際に備えて火災時の避難訓練や消火訓練が欠かせないように、インシデント対応についても同様に演習を実施し、実際に作成された手順や連絡体制が機能するかをチェックすることを推奨します。
疑似的なインシデント対応演習を実施することで、既存の手順の問題点や、検討しなければならない点が洗いだされます。演習によって手順の不備だけでなく、実際のインシデント対応とは関連性がないと思われた業務に関するプロセスの評価につながるだけでなく、各CSIRTのメンバー間のインシデント対応における習熟度の違いなども把握可能になります。こうした、訓練や演習を繰り返すことで組織内CSIRTの各スタッフに対する改善点も見えてくるようになるのです。
また、演習に限らず、実際のインシデント対応による各部署や要員からの報告やフィードバックを得ることもCSIRT運用の視点としては重要です。得られたフィードバックから業務の改善につなげることが可能になるからです。CSIRTの訓練以外では最近一般の従業員に対する「標的型メール訓練」が注目されています。JPCERT/CCでは2008年に「標的型攻撃手法に関する調査報告書」として「ITセキュリティ予防接種」という疑似標的型攻撃を組織に対して行う手法で社員等のセキュリティ意識を向上し、教育効果を引き上げるというアプローチによる調査報告書を公開しています。もし自組織でこうした訓練をお考えであれば、是非参考にしてください。
http://www.jpcert.or.jp/research/targeted2.html
こうした訓練の結果として、メールに添付されたファイル開封率に目が行きがちになりますが、そもそも開封率を0%にすることは実際には不可能に近いと思われます。なぜなら業務都合上どうしても外部からの添付メールを開封しなければならない部署もあるからです。したがって「標的型メール訓練」では開封率だけではなく開封してしまった際の連絡、いわゆるエスカレーションが適切に行われるのかも含めて訓練の結果指標とし、適切な担当者まで報告が遅滞なく実施できているかも含めた訓練とすることを推奨します。
インシデント情報をあらかじめ種類分けし、その対応にどれくらいの稼働を費やしたのかを管理しておくことも運用としては重要です。なぜなら後にインシデント対応に関する報告や対応の為のリソース配分(人・物・金)、さらには年間の運用実績等を報告書として取りまとめる際にも、こうした情報は、自組織のインシデント傾向を分析する際に必要になるからです。また、今後の運用改善へ向けて注力すべき点を経営層に説明する際、定量的に表現できるようになるため、説得力が増します。さらに現在進行形のインシデント対応に関しても、「見える化」を行うことでチーム全体でインシデントへの対応状況を共有することができ、インシデント発生時のトリアージ等の優先順位付けや対応状況の管理にも役立ちます。大規模な組織ではそれらをチケットシステムで運用している場合もあるでしょうし、SOC(セキュリティ オペレーション センター)と連携することで実現している組織もあるでしょう。起こったインシデント情報を管理することで、対応の振り返り、改善点を見出すためにもこれらの情報は欠かせません。
CSIRTでは、最新のセキュリティに関する技術情報や、日々巧妙化するインシデントに関する情報を常に把握する必要があります。このようなモニタリングを実施する体制はCSIRTの機能としては必要不可欠なものですが、そのための体制を万全にする場合、結果的に組織内のコストが増加する場合があります。いわゆる「コストセンター」としてのCSIRTであれば、CSIRTの業務の成果をしっかりと経営層へ理解を得られる活動とともに、組織内の存在意義や会社への貢献度を理解してもらう必要があります。インシデント対応スピードの向上だけでなく予算的な意味でも、この取り組みは重要です。
組織内の業務内容を把握し、自組織のシステムセキュリティレベルはどの程度なのか、サービスの内容やユーザ数、利用形態が変化していないかを常に把握し、環境の変化があった場合に引き続き現行のセキュリティ対策状況で十分なのか?あるいは不足しているのか?等、現状の状況把握に努めることが重要です。場合によっては業務内容の変化に併せて、セキュリティポリシーや手順を改定することも視野にいれて定期的な見直しをすることを推奨します。
CSIRTの活動報告は非常に重要です。年間のインシデント対応件数や、流行している事案への対策状況を報告することで、成果報告となるだけでなく、組織内のセキュリティ意識の向上にもつながります。経営層に対してもCSIRTの存在意義を訴求することが可能となります。また、自組織だけでなく、他組織のCSIRTと常に事案の共有の場やコミュニティを持つことも重要です。他社事例やアイディアを自組織にも取り入れることで、自組織の改善を行うことができるとともに、対外的な信頼も得ることができるでしょう。こうした活動においては、日常的なCSIRT間同士のコミュニケーションがどのように行われているのか、あるいはCSIRT間、個人同士の信頼関係醸成がどのような活動によって行われているのかが大きなポイントでもあります。日頃からのコミュニティ活動を通じて信頼関係を構築し、必要な時には他組織CSIRTとも連携することもインシデント対応には欠かせません。なぜなら昨今のセキュリティを取り巻く脅威は自組織だけでは解決しにくい事案が多いからです。CSIRT間のコミュニティ活動に積極的に参加し、お互い有益となるインシデント情報を交換することが、CSIRT間の信頼関係を築く第一歩となります。
CSIRTの活動には、実際のインシデントに対応する運用の視点と、体制・連携強化のためにCSIRTの存在意義を認識してもらう運用の視点、2つについてお話しました。しかし、これらは一般的な話でしかなく、あるべきCSIRTの運用というのは組織によって異なります。CSIRTは自組織の業務や、インシデントの対応範囲について理解し、迅速なインシデント対応をすることが求められます。また、経営層も巻き込んだ活動としてCSIRTの存在意義を理解してもらうことは、とても重要なCSIRT活動の第一歩ですが、これは基礎となる部分でしかありません。情報漏えい問題など、様々なインシデントが増える一方ではありますが、組織内CSIRTの数は増加傾向にあり、CSIRT相互のコミュニティ活動も活発化していて、情報交換できる環境は整ってきています。組織内外から様々な情報を収集し、みなさんの組織にあったCSIRTを目指してみてはいかがでしょうか。筆者は「情報の共有」、「組織内CSIRT間連携活動」が、増え続けているインシデントによる被害を減らす一つの近道であると考えています。
全3回の執筆を通して、CSIRTとは何か、構築について、運用についてお話しました。メールの中では伝えきれない内容や、一般論で語れない内容などまだまだ話しきれないものはたくさんあります。もし、興味をもっていただいて、CSIRTの構築を考えている方がいらっしゃれば、是非JPCERT/CCまでご相談ください。構築から、情報共有の場への参加まで、お手伝いできるメンバーがそろっています。国内のインシデント被害を減らすためにも、お困りの場合がありましたら、是非ご一報よろしくお願いいたします。
一般社団法人JPCERTコーディネーションセンター
Email:office@jpcert.or.jp Tel:03-3518-4600 https://www.jpcert.or.jp/
インシデントのご報告
Email:info@jpcert.or.jp https://www.jpcert.or.jp/form/
制御システムインシデントのご報告
Email:icsr-ir@jpcert.or.jp https://www.jpcert.or.jp/ics/ics-form
【筆者紹介】
一般社団法人JPCERTコーディネーションセンター
早期警戒グループ
情報セキュリティアナリスト 松田 亘(まつだ わたる)
情報セキュリティアナリスト 青木 翔(あおき しょう)
【部会・WG便り】
★JNSA組織で働く人間が引き起こす不正・事故対応WG主催セミナー
「組織で働く人間による不正・事故は止められるのか?」
JNSA組織で働く人間が引き起こす不正・事故対応WGによる書籍「内部不正対策14の論点」発売を記念してセミナーを開催します。
本日、申込受付を開始しました!
日時:2015年9月9日(水)12時30分〜17時(12時開場)
場所:コクヨホール(品川)
〒108-8710 東京都港区港南1丁目8番35号
会場では、書籍「内部不正対策14の論点」の割引販売も行います。
プログラム・お申込みは↓こちら↓から
https://www.jnsa.org/seminar/2015/0909/
★JNSA海外市場開拓WGによる「RSA Conference APJ 2015」出展の様子を記事にしていただきました。
・ZDNet japan様
http://japan.zdnet.com/article/35067929/
・Scan NetSecurity様「日本のセキュリティ製品は世界で通用するか(JNSA)」
http://s.netsecurity.ne.jp/article/2015/07/29/36992.html
★マイナンバー対応情報セキュリティ検討WGでは9月の成果物完成に向けて鋭意活動中です。
【事務局からの連絡、お知らせ】
★JNSA設立15周年記念「JNSAセキュリティセミナー in 鹿児島」
JNSA設立15周年記念イベントの一環として、今年は全国各地でセキュリティセミナーを展開します。
第1回は九州・鹿児島市での開催です。
日時:2015年9月4日(金)13時30分〜17時(13時開場)
場所:サンプラザ天文館 6階Aホール
〒892-0842 鹿児島市東千石町2-30
プログラム・お申込みは↓こちら↓から
https://www.jnsa.org/seminar/2015/0904/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第66号
発信日:2015年7月31日
発行: JNSA事務局
*************************************