EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

適切なサイバーセキュリティ対策の確立に向けた努力を――名和利男氏が解説する「机上演習(TTX)活用のポイントと公然情報の重要性」

edited by Security Online   2018/11/05 10:12

TTX活用のポイントと公然情報の重要性

 TTXではこの確認結果を元に、今度は対応策を練っていく。これには10分から40分ほどの時間をかけて発表を行う。名和氏やTTX主催者はそれをチェックし、抜けや漏れが発生しないようにトレーニングしていく。どこに注目するかという正解はないが、重要なことを見落とした場合には潜在していたリスクが拡大していくため、攻撃者が求めるものや攻撃手法のトレンドは把握しているべきとした。また、実際に確認できる部分はオペレーションの演習として実施する。  

 例として名和氏が挙げたのは、ウイルス対策ソフトの部分だ。他のウイルス対策ソフトで検知できたとのことであったが、それをインストールしようとするとコンフリクトが発生し、PCが動かなくなった。では、現在導入されているウイルス対策ソフトのアンインストールをしようとなると、管理者権限で導入しているのでIT管理者でないと作業できない。外部の業者に委託しているケースもある。しかも想定されるPCが300台あるとなると、即時対応は極めて難しい。これは全てのPCのIDとパスワードを変更する場合も同様だ。  

 現場チームでのディスカッションの結果、10個の対処アクションが決定された。名和氏は、「一見すると素晴らしい対処であり、網羅性もあるが、実行しようとすると現場の判断だけではできないことも多い」と指摘した。例えば「ログから確認する」というアクションがあるが、委託先が持っているケースもあるし、いつからいつまでのログが必要なのかという問題もある。ローテートされずに残っているストレージ上のログであればすぐに出せるが、1カ月以上前からとなるとベスストレージから抽出することになることが多いため、数時間から半日かかることがある。  

 さらにアクションをみていくと、「OSバージョン、Windows Update、セキュリティ問題を確認」は被害の拡大防止を意図していると考えられ、「URLとグローバルIPに制限をかける」は即座に封じ込めることが目的と考えられる。また、「ログから確認」は現状把握と、それぞれの目的がバラバラで戦略がないと名和氏は指摘する。並んでいるアクションアイテムは、「戦術(本来設定されているはずの戦略に基づく個々の具体的な場面における判断・行動)」であり、思いつきに近い場当たり的な対処である。これでは現場に混乱を招いてしまう。  

 名和氏は、TTXから得られた教訓として、現場の初動対処におけるポリシー及びプロシージャに「戦略(サイバー攻撃への対処目的を達成するため高次の観点から関係する主体を行動させるための方策)を決定あるいは選択するプロセス」を追加する、インシデント発生時における基本的なトリアージである「カテゴライズと関連付け」「優先付け」「(対応主体への)割り当て」のプロセスを確立する、豊富な公然情報を有効活用するために、組織内に公然情報を集約・蓄積・周知する担当者を設けて習熟させておくことの3点を挙げた。  

 CSIRTをプレイヤーとしたTTXでは、ディスカッションの結果、「現場チーム」が注意喚起の情報により推定していた「リスク」との乖離(残存リスク)の観点では、伝達内容或いはアドバイスに不足が見られたこと、想定リスクが情報窃取に偏重し過ぎており、「デバイス(キーボード、コントローラー、プリンタ)が制御されるリスク」や「感染したコンピュータが乗っ取られるリスク」についての言及がなかったこと、「仮想マシンからのコールバック通信」に対する配慮がないことが明らかになった。  

 名和氏はCSIRTにおけるTTXで得られた教訓として、「残存リスク」に対する懸念及びそれを解消するための方策を最優先するポリシーの策定をする必要があること、サイバーキルチェーンのプロセスの観点に基づく対処立案の発想ができるようになるための教育・訓練を検討することを挙げた。最近では、サプライチェーンのリスク管理が重要になってきており、国内の重要インフラ分野において対策強化が検討されている。今後はますますCSIRTの役割が重要になるとした。  

 公然情報については、それを蓄積、集約、そして周知する担当者を設けて習熟させておくことが重要であるとした。大企業では、OSINT(Open Sauce INTelligence)専任組織を設置して情報を収集、蓄積し自社に関連する動きを把握するケースも増えている。個人でも、色々な人とディスカッションしたり、カンファレンスに参加して懸念となるキーワードを自分の中に蓄積したりしていくことで、センスを磨くことができ、公然情報からひとつのストーリーが見えてくるようになる。その延長線上に自社があると考え、攻撃を検知できた例もあるという。その上で年に数回TTXを実施することで、より効果的な即時対応が可能になるとした。



著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5