コンテンツにスキップ

サイバーセキュリティ緊急時のガイダンス🔗

はじめに🔗

サイバーセキュリティの緊急事態が発生した場合、Secureworksインシデント対応チームが貴組織を支援します。サイバーセキュリティの緊急事態が発生する前に、対応計画を策定し、テストしておくことが、効果的かつ効率的な対応を可能にする最善策です。対応計画は、インシデント対応プロセスにおける技術的・非技術的なすべての要素を俯瞰し、役割や責任、アクティビティを完了するための緊急性を明確にします。

以下の推奨事項は、インシデント対応計画の策定やSecureworksへの支援依頼の際の指針となります。

サイバーセキュリティ緊急事態の兆候と指標🔗

サイバーインシデントにはさまざまな形態があり、サイバーセキュリティの緊急事態が進行中または発生したことを示す特定の兆候があります。単一の指標だけでサイバーセキュリティの緊急事態が発生した、または進行中であると断定することはできませんが、1つ以上の指標を観測した場合は、イベントをより詳細に調査する必要があります。

一見すると運用上の問題に対応している最中に、サイバーセキュリティの緊急事態が明らかになることもあります。そのため、これらの指標の有無に注意し、該当する問題やイベントをインシデント対応および分析リソースにエスカレーションして、適切な次のステップを判断することが重要です。

潜在的なサイバー脅威の指標の情報源には、以下が含まれます。

  • サイバーセキュリティソフトウェアおよびデバイス(例:IDS、IPS、DLP、SIEM、アンチウイルスおよびスパム対策ソフトウェア、ファイル整合性監視ソフトウェア、監視サービス)
  • ログ(例:オペレーティングシステムのログ、サービスおよびアプリケーションのログ、ネットワークデバイスのログ、ネットワークフロー)
  • 公開情報(例:新たなエクスプロイトに関する情報、情報交換グループ、第三者組織、政府機関)
  • 組織内の人員
  • 第三者(例:お客様、サプライヤー、ITプロバイダー、ISP、パートナー、政府機関)

最も重要な観点として、サイバーインシデントに関する懸念は、システムおよび情報の機密性、完全性、可用性の確保に集約されます。以下は、これらの特性ごとの代表的な指標です。網羅的なリストではありませんが、追加調査が必要となる指標の一例として参考にしてください。

サイバー脅威の指標や侵害の兆候には、以下が含まれます。

  • ホストへの異常なトラフィックの発生
  • ネットワークまたはホストの侵入検知アラート
  • 第三者から、ホストが攻撃活動に関与している可能性があると連絡を受ける(例:法執行機関、サービスプロバイダー、同業他社など)
  • 重要ファイルへの予期しないアクセス試行(例:保護されたファイルやネットワーク共有)
  • .zip、.rar、.tarなど、識別できないまたは予期しない圧縮ファイルの存在
  • 説明のつかないアカウント利用(例:通常は使用されていないアカウントの利用、複数の場所から同時に利用されているアカウント、特定ユーザーからの予期しないコマンド、大量のロックアウトアカウント)
  • ハードウェアの一部または全部が紛失している(例:システムが開かれ、特定のコンポーネントが取り外されている)
  • 事前の同意やトラブルチケットなしに、ベンダーや第三者が環境に接続している
  • 攻撃グループから、組織への侵害を試みる旨の脅迫
  • 不正または予期しないツール、アプリケーション、その他ファイルの存在
  • 異常な名前(例:バイナリ文字、先頭スペース、先頭ドット)の新規ファイルやディレクトリ
  • システム構成の変更(プロセス/サービスの変更や追加、予期しないポートの開放、システムステータスの変更(再起動、シャットダウン)、ログや監査ポリシー・データの変更など)
  • ネットワークインターフェースがプロミスキャスモードに設定されている
  • 新しいユーザーアカウントやグループの作成
  • 重要ファイル、タイムスタンプ、権限の変更(実行ファイル、OSカーネル、システムライブラリ、構成ファイルやデータファイルを含む)
  • 説明のつかないアカウント利用(例:通常は使用されていないアカウントの利用、複数の場所から同時に利用されているアカウント、特定ユーザーからの予期しないコマンド、大量のロックアウトアカウント)
  • 異常なオペレーティングシステムやアプリケーションのログメッセージ
  • 不正な新規ハードウェア(例:攻撃者が不正なネットワークデバイスやリムーバブルメディアを接続)
  • アンチウイルスソフトウェアのアラート
  • システムの利用不可、不安定、異常な遅延に関するユーザーからの報告
  • 自動サービス/システム監視アラート
  • システムリソース使用量の大幅な変化(例:CPU、メモリ、ネットワーク帯域幅の利用率)
  • 説明のつかない接続の喪失
  • 単一ホストへの大量の接続
  • 非対称なネットワークトラフィックパターン(例:ホストへの大量トラフィック、ホストからのトラフィックが少ない)

対応チームへの推奨事項🔗

サイバーセキュリティの緊急事態が発生した場合、すべての関係者は以下を実施してください。

  • 冷静さを保つ。
  • 事前に策定した計画やプロセスに従って対応する。意思決定やインシデント対応、事業継続、危機管理のための内部・外部活動を監督する明確な権限を持つインシデントコマンダーを任命することを検討する。
  • 適切な対応を可能にするために、必要な内部・外部サポートのレベルを継続的に評価し、必要に応じて追加のリソースを動員する。
  • 外部サポートの動員に備えて以下を準備する:
    • 影響を受けたシステムの特性(オペレーティングシステム、アプリケーションの詳細、ビジネス上の目的など)を特定する。
    • ネットワーク図、ログ、マルウェアサンプルを提供する
    • ネットワークパケットキャプチャ、ネットワークフローログ、関連するフィッシングメールなどのアーティファクトを収集する
    • デジタルメディアをフォレンジック的に適切な方法で保全する
    • 実施したアクションを記録する
  • すべての対応参加者のアクティビティ、意思決定、アクションアイテムを追跡するため、内部プロジェクトマネージャーを任命することを検討する。
  • 内部または外部の法務担当を通じて、エンゲージメント全体を法的特権およびワークプロダクトドクトリンで保護することを検討する。
  • 保険請求を行う場合は、顧客や第三者の要件を考慮し、法的保全通知やアクションの適切な手配を検討する。
  • 第三者組織にインシデント対応の発見事項を提示する必要がある場合は、彼らの立場、目的、責任に関する懸念を考慮する。
  • インシデントが収束するまで、24時間365日体制のサポート要件をカバーするための人員スケジュールや交代制を検討する。
  • 侵害されたシステムの電源を切る、稼働を維持する、またはネットワークから切断する必要性について議論する。また、バックアップや再構築のオプションも検討する。
  • 影響を受けたシステムのフォレンジックコピーを作成するための緊急メンテナンスウィンドウの必要性を判断する。

Secureworksは、エンゲージメント期間中にデジタルフォレンジック分析のために物理的に収集する必要があるデジタルメディアイメージについて、証拠保全文書(チェーン・オブ・カストディ)を提供します。

Secureworksは、デジタルメディアイメージの転送方法として、メディアの消去、返却、または法務担当やアーカイブサービスなどの希望する第三者への移送などのオプションを提供できます。

Secureworksによるスコーピングコール準備🔗

サイバーインシデントは、完全な情報や事実が揃っていない段階でも報告される場合があります。できる限り多くの情報を収集することで、貴組織への支援を迅速化できます。サイバーセキュリティの緊急事態が疑われる場合、以下の質問への回答が、Secureworksから支援を受けるための適切な対応策の決定に役立ちます。

  1. サイバー侵入活動の兆候や症状(例:「何がきっかけで気づきましたか?最初の指標は何でしたか?誰がいつ問題を発見しましたか?」)。
  2. サイバー侵入活動の兆候や症状の情報源(例:「Secureworks SOCから報告を受けました。アンチウイルスソリューションがマルウェアの存在を警告しました。」)。
  3. 現在のステータス(いずれかを選択):
    • 重大:事業停止、データ流出の確認、重要インフラの侵害
    • 高:事業への支障、データ流出の疑い、重要インフラの侵害の疑い
    • 中:過去のサイバー侵入で未対策のもの
    • 低:デューデリジェンス分析または対策済みの過去のサイバー侵入の分析
  4. 影響を受けた資産の種類(例:システム、ネットワーク、データ)とオペレーティングシステムおよびアプリケーション情報
  5. 既に実施した対応アクション
  6. ネットワークおよびデータフローのトポロジー(以下を含む):
    • 影響を受けたシステムの論理的な場所(例:ICS/SCADA、ITAR、PCI、重要インフラのエンクレーブ)
    • 他のネットワーク資産へのアクセス性(例:インターネット、データセンター、ICS/SCADAゾーン、その他重要資産、影響を受けた資産との間で許可されているプロトコル)
  7. 影響を受けたサイトの所在地(市/州/国の情報)

教訓の抽出プロセス🔗

インシデント対応ライフサイクルにおける教訓抽出フェーズは、しばしば最も軽視されがちですが、インシデント対応において非常に重要な側面です。教訓を記録し、アクションに移すことは、将来のインシデントの影響を回避または最小限に抑えるために不可欠であり、インシデント対応計画の中で明確に規定されているべきです。

インシデント対応計画には、教訓抽出の実施タイミング(例:どのくらいの速さで実施するか)、教訓抽出を担当する責任者、必要に応じてインシデント対応計画の更新プロセスを定義してください。

ご要望があれば、Secureworksの事前対応サービスの一環として、Secureworksが貴組織の教訓抽出プロセスを実施することも可能です。これは、第三者の視点を提供する上で有益となる場合があります。

教訓抽出プロセスの際には、インシデントに関するメモやその他のドキュメントが不可欠です。そのため、インシデント期間中にメモやドキュメントを記録しておくことが重要です。

貴組織が独自に教訓抽出プロセスを実施する場合、よくある質問事項は以下の通りです。

  • 何が、いつ、どのように発生したのか?
  • インシデント対応において、スタッフや管理職はどの程度うまく対応できたか?文書化された手順は守られたか?十分だったか?
  • もっと早く必要だった情報は何か?
  • 復旧を妨げるようなステップやアクションはあったか?
  • 次回同様のインシデントが発生した場合、スタッフや管理職は何を変えるべきか?
  • 他組織との情報共有はどのように改善できたか?
  • 今後同様のインシデントを防ぐためにどのような是正措置が取れるか?
  • 今後同様のインシデントを検知するために、どのような前兆や指標に注意すべきか?

出典: NIST SP 800-61R2: Computer Security Incident Handling Guide