有限責任中間法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は11月5日、JPNICと共同で、ネットワーク/システム管理者を対象にしたセキュリティセミナーを開催し、「インシデントレスポンス概論」をテーマにJPCERT/CCの山賀正人氏が講演を行った。
インシデントとは、コンピュータ・セキュリティ・インシデントの略で、不正アクセスやアタックなど、コンピュータセキュリティに関する人為的な事象を指す。管理するネットワーク/システムがこうしたものに見舞われた場合に、いかに対処するかについてが語られた。
■ インシデントは起こるもの
|
有限責任中間法人JPCERTコーディネーションセンター 山賀正人氏
|
同氏によれば、「インシデントは起こるもの」。複数アプリケーション運用下におけるパッチの適用忘れなどの人為的なミスでなくとも、公になっていない未知の脆弱性が悪用された場合などは「防ぎようがなく、どんな環境でも100%安全ということはあり得ない」と語った。その上で、「いかに素早くインシデントの発生に気づき、対応するかが非常に重要になる」とした。
JPCERT/CCでは、インシデントを報告者の視点から見て、DoS攻撃、メール詐称、サービスの悪用、進入、弱点探索、その他に分類している。だが「企業や組織ごとに、なにがインシデントにあたるかはそれぞれ」となる。たとえば情報漏えいが起こっても、その情報が顧客情報なのか、企業情報なのか、また重要なのかそうでないのかは違うものだ。サーバーでも、それがミッションクリティカルなものや商用サイトのWebサーバーの場合と、バックエンドのサーバーや稼動を一時停止しても影響の大きくないものならばまったく状況は違う。
■ 事前の体制作りが重要
同氏は「インシデントレスポンスにおいて重要なのは、事前にいかに体制作りを行っておくか」とし、「組織にとって一番大切なのは何なのか、あるいは想定されるダメージから逆算するなどして、明確なセキュリティポリシーを策定しておくことがその第一歩になる」と語った。また「組織内に、インシデント発生時を想定した専門チームであるCSIRT(Computer Security Incident Response Team)が必要」とした。これは「通常は普通に業務を行い、そのときだけ集まれる体制で十分」とのこと。
しかし「日本ではCSIRTはまだ浸透していない」と現状について触れた。「アメリカでは、CSIRTは、CEOなど権限のあるポジションの直下に置かれ、緊急時には業務停止を伴うネットワーク停止を行えるなどの強力な権限を有した組織として一般に認識されてきている」と語り、「CSIRTがあらゆるインシデントに対応するためには、こうした権限がなければ機能しないが、これが日本での課題になるだろう」と語った。
■ インシデント早期発見のために
インシデント早期発見のためには、「ただでさえ膨大なログの取得内容を、必要な部分だけに整理し、しっかり確認すること」を挙げた。また「正常稼動システムのプロセスや、ポートの情報をバックアップし、一定期間ごとに確認することも必要になる」と語った。ただこれらの作業にあわせて、MD5ハッシュやタイムスタンプを用いたファイルの改ざん確認を行なったとしても、「確認できるインシデントは限られるだろう」ともしている。ただ踏み台にされたなど、外部からの連絡を受けたら、「最低限これぐらいはしないといけない」と語った。
またJPCERT/CCには、操作ミスや設定ミスによる勘違いからのインシデント報告も寄せられるとのことで、インシデントの疑いを見つけたら「まずは落ち着いて冷静に」もう一度確認してみることも必要と語った。
■ インシデントが起こったら
もし実際にインシデントが起こった場合には、まずは責任者/担当者への連絡を行う。その後必要ならばネットワークからの遮断やシステムの停止をし、漏えいした情報や踏み台としての攻撃先など、影響した範囲を特定して、関係サイトへの連絡を行う。要因特定やシステム復旧などはその後の手順としている。スナップショット保存を活用し、作業記録を作成することも後のためには必要となる。しかし「こうした事前に決めた手順に従うことも重要だが、それでは対処できない場合も多々ある。」と語った。そうしたときにいかに柔軟に対応できるかも大事な点だ。
同氏によれば「一度標的にされ、もし成功リストなどに掲載されてしまったら、再度狙われてしまうことが多い」とした。再発防止策の検討、監視体制の強化は必須となる。ポリシーや運用体制の見直しも必要になるだろう。同氏は「その後余裕があれば、JPCERT/CCに報告してほしい」と語った。
■ URL
有限責任中間法人JPCERTコーディネーションセンター
http://www.jpcert.or.jp/
Japan Network Information Center(JPNIC)
http://www.nic.ad.jp/
JPNIC・JPCERT/CC Security Seminer 2003
http://www.nic.ad.jp/security-seminar/program.html
( 岩崎 宰守 )
2003/11/06 08:36
|