前回は、インシデント発生の検知から、トリアージの実施、調査までを解説しました。今回はその続きになります。

img155_01

封じ込め

次のステップは封じ込めとなります。調査により影響が確認できた場合、詳細な分析を行う前に損失を極小化します。具体的には、攻撃が外部からなら「遮断」、内部からならまずは「特定」から行います。

遮断を行う際は、攻撃元だけを遮断できるかどうかという点に、最も注意が必要となります。つまり、巻き沿いとなる通信が発生しないかどうかという点です。ボットなどを用いたDDos攻撃などですと、攻撃元のIPアドレスが極めて多数かつ、世界各地に点在することが一般的です。

そのため、IPアドレスごとに個別に遮断しても遮断しても切りが無く、結果影響を回避するためには国外からの通信を丸ごと遮断しないとならない、などという状況に追い込まれることが多々あります。情報漏洩のような深刻なインシデントの発生が確実な場合は、全ての通信を停止することも視野に入ります。

内部から発生しているインシデントについては、対象のユーザーアカウントの停止や通信経路の途絶などの対処が必要になります。そのためにもまずはユーザー特定を最優先に行います。

内部攻撃、外部攻撃ともに、こういったことが想定される事を踏まえて、対処方法はセキュリティポリシーとして予め検討しておくとともに、想定外事象発生時のエスカレーション体制も定めておきます

くどいようですが、分析より必ず前に行わなければならないことを確実に抑えてください。のんびりと分析をしている暇があったら、先に火を消すというのは鉄則になります。

分析

分析のステップは、CISSP試験での定義としては、発生したインシデントが将来「再発」しないようにする活動を意味します。そのため、調査、封じ込めよりも後段で実施するステップという扱いになります。

また、責任箇所の所在についても、このタイミングで明確にします。

分析対象についても、直接発生したインシデントだけではなく、類似の他システムなど、他のエンティティについても同様のインシデントが発生する可能性がないかどうかを徹底的に分析します。そのため、このステップには一般的に、対応にあたってたくさんのリソースが必要になります。

なお、分析に用いるログについては書き換わったり、なくなったりする等、動的な性質があるため、「リモートジャーナリング」等を用いて対策を行うことになります。このあたり詳細は別の回で取り上げます。

復旧

最後のステップは復旧です。分析ステップの実施により、再発防止の手法を確立したのち、それを加味して復旧を行います。

重要なのは、証拠は別途保全しておく必要があるという点と、このタイミングでバックアップを取得しておくことです。復旧を優先的に考えていくと、どうしても慌ただしく忘れがちになってしまいますが、このタイミングで新たなバックアップを取得しておかないと、次回の別なインシデントが発生し、バックアップからリストアすることが必要になった際、既知のリスクに対して脆弱な状態でリストアされてしまいます。ここは確実に行うよう、手順化しておくことが好ましいです。

また、ひとつの脆弱性の対処を行った結果、別な脆弱性を誘発することも往々にして発生してしまいます。そのため復旧後の極力早期に、脆弱性について改めてテストを行うことも必要です。

振り返り

インシデント対応が完了した際には、対応完了後、全ての参加者からのフィードバックを得ておきます。そして、対応の各ステップを文書化し、将来の参考にするというサイクルを確実に回していきましょう。

最後に、インシデントについて対応する内容については責任者の承認が必要となります。この際、かかる費用についても承認されることが必要になります。突発的に利用できる予算を用意しておくことも備えのひとつとなるでしょう。

前回の記事
次回の記事