Enterprise Watch
最新ニュース

伊原氏「情報漏えいやデータ改ざんには、まず証拠保全を」

Windowsセキュリティセミナー 講演

 3月17日にSQL ServerユーザグループであるPASSJの主催で行われた「Windowsセキュリティセミナー」において、「インシデントレスポンス」と題し、不正アクセスなどセキュリティ的に問題が発生した場合における対策について伊原 秀明氏が講演した。


伊原 秀明氏
 伊原氏は冒頭に「インシデント」とは「事象」を意味し、特にコンピュータセキュリティに関するさまざまな事象をインシデントと呼び、それ対する対応をインシデントレスポンスと定義した。その上で、情報漏えい、Webページの改ざん、ウイルスへの感染など、システムで発生するさまざまなインシデントに対するレスポンスについて語った。

 インシデントレスポンスでは、全員が専任である必要はないものの、インシデントが発生した場合に対応する専門のチームを発足させるべきであるとした。チームには、対外的に謝罪できる立場のシステムの責任者と、訴訟が発生した場合に対応を協議するための法律の専門家が必要であると語った。ただし外部から攻撃を受けるなどの被害にあった場合には、直接相手と交渉するよりも公的なインシデント対応組織「JPCERT/CC」を通すべきであることを強調。またインシデントが発生した場合、誤った対応をとらないためには、事前に「緊急時対応手順書」を作成しておくことが重要とし、内容に問題がないかどうかをITなどに詳しい法律の専門家に相談することを推奨した。伊原氏は「でも実際にはITに詳しい弁護士さんはかなり少ないですが…」と苦笑交じりに語った。

 インシデントの発生状態をそのまま保全する「証拠保全」のガイドラインとして、伊原氏は次の内容を列挙した。
  • 正確な記録の作成
  • 正確な情報の収集
  • 収集した情報の取り扱い
 記録では、インシデントに対する対応の時刻、操作した人物、作業内容(できればビデオや写真で撮影)を正確に記録として文書化しておく必要がある。そして電子データではなく紙(プリントアウト)の状態であるほうが望ましいとしている。また、証拠としてHDDやメモリなどの内容をHDDにコピーして保全(収集)する場合には、収集した内容が正しいデータであることを確認することが重要であると語った。


Penguin Sleuth BootableでLinuxシステムをCDブートし、証拠を保全する
 伊原氏は、CDからブートできるLinux(Penguin Sleuth Bootable)による証拠保全のデモを行った上で、正確な情報を残すノウハウを披露。「いざ訴訟問題になったときに困らないためには、まず証拠の保全です。インシデントが発生した場合に何か対処をしようとせずに、電源を切るなどして現状を維持してください」と語り、さらに続けて「証拠を保全せずに管理者がシステムを操作してしまうと、揮発性の高い証拠はどんどん消えてしまいます」と、通常ならばシステム管理者が障害発生時におもわずやってしまう操作をしないことがインシデントレスポンスには重要であることを強調した。



URL
  Windowsセキュリティセミナー
  http://www.sqlpassj.org/semievent/semi/secsemi3/intro.aspx
  PASSJ SQL Serverユーザーグループ
  http://www.sqlpassj.org/


( 北原 静香 )
2004/03/19 11:08

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.