概要 
- B社・・・中規模インターネットサービス企業
- 情報セキュリティインシデントへの対応体制強化のためにCSIRTを設置(以下図参照)
 |
- 対応範囲は基本的にB社グループ内とする(必要に応じて外部関連組織と連携)
インシデント対応状況の監査
調査結果1:検知システムについて
- B社グループ各社の情報基盤はそれぞれの情報システム部門が独自に管理
- IDSなどの検知システムは各社で導入したもの
- メールシステムやイントラネットは共通基盤
調査結果2:イベントハンドリングの内容
イベントハンドリングは以下の通り。
<B社CSIRTの役割:イベントハンドリング>
| 番号 | 項目 | 内容 |
|---|---|---|
| 1 | イベント認知・連絡受付 | (1)検知システムでインシデントと自動判定されたイベントを認知 (2)ヘルプデスク経由やDNSサービスを利用した外部連絡によるイベント受付 |
| 2 | トリアージ | (1)B社が対応すべきか判断。必要に応じて連絡元への回答 (2)インシデント判定マニュアルに基づき、最終判定と優先順位づけ |
| 3 | インシデントレスポンス | (1)グループ内発生インシデントについて、該当会社のシステム管理者などと連携、および被害の極小化・拡大防止を図る対応 (2)外部ウェブサイトに影響が及ぶ場合の外部組織との情報交換と必要な対応 |
| 4 | グループ内通知。監督官庁への報告など | (1)グループ内で被害の極小化・拡大防止を図るための注意喚起 (2)必要に応じての監督官庁への報告、メディアなど一般向け対応 |
調査結果3:イベントとインシデントの定義
| イベント | グループ内の情報セキュリティに影響を及ぼし、重大な情報セキュリティ事故につながる恐れがある事象 |
| インシデント | 重大な情報セキュリティ事故に至り、グループに多大な被害を与える事象 |
調査結果4:イベント検知と自動判定
- 各社検知システムで検知されたイベントは、インシデントかどうか自動判定する
- インシデントと判定されるとB社CSIRTへも自動通知される
- イベント検知基準、インシデント自動判定基準は検知システム上で設定
- 一度だけ見直しを実施。それ以降は見直しがなされていない。
検知システムで問題が発生する恐れがある
新技術を利用した攻撃などの可能性があるイベントを検知できない
【解説】 情報セキュリティインシデントは、技術の進歩により新しいものが次から次へとでてくる。 従って、自動判定基準がみなおされていないと、新技術をつかった攻撃に対応できなくなる。
調査結果5:トリアージスキル
- CSIRTには専任社員とシステム部兼任社員が存在。
- トリアージ用にインシデント判定マニュアルがある
- 確認事項や方法の記載があるが、高いスキルを持つ技術者向け
- 一部詳細な記述がなく省略されている
- 兼任社員がトリアージを常に正確に行うのは困難と思われる
- 確認事項や方法の記載があるが、高いスキルを持つ技術者向け
確認事項によってはトリアージが適切に行われないおそれがある
スキル状況確認のための監査手続
・判定マニュアルに詳細な記述がない部分について、その確認方法をインタビューする
・実際に兼任社員が行った詳細な記述が記載されていない確認方法が必要なトリアージの記録を査閲する
調査結果6:過去のトラブル
- 子会社の一つでインシデントレスポンスを行ったとき、トラブルが発生した
- ネットワーク機器がバージョンアップにより、生成するログ形式が変わっていた
ログが使用できず、被害範囲の特定や対応策の検討に時間を要する
↓
インシデントハンドリングの完了が遅れた
現在の運用のままでは、インシデントが発生した場合、
再度インシデントハンドリングに支障をきたす可能性がある
◆実施すべき対策
機器のバージョンアップがイベントハンドリングの仕組みに影響を与えるため
システム変更時にその内容をB社CSIRTに報告させ、その影響を把握する仕組みの構築をすべき
調査結果7:外部関連組織との連携不足
- B社CSIRT設置と外部関連組織との連携体制を構築後、定期的な情報交換、組織リストの更新を行っていない。
- 運用規定としては連携体制の維持・強化を定めている
B社内または外部でインシデントが発生した場合、外部関連組織との連携が迅速かつ有効におこなわれない可能性がある
◆想定されうる影響
| 1 | グループ内に及ぼす影響 | 外部で発生したインシデントへの対応を適切に行えず、B社グループが同様の被害を受けること |
| 2 | グループ外に及ぼす影響 | グループ外での対応が遅れ、グループ内で発生したインシデントと同様の被害が外部に拡大する |
最新コメント