14.インシデント対応 > 14.2 インシデント対応

インシデントが発生したときの対応というのは、以外に難しい。
過去には、某スーパーにて、牛肉の産地偽装が発覚した。このとき、レシートを持たなくても自己申告だけで、購入した代金を返金するという対応を取った。これにより、実際には買っていない人も大量に返金を求め、実際の販売金額の何倍もの返金をすることになってしまったのである。

インシデントは突然にやってくる。事件が発生してからあたふたするのではなく、事前にどうするかというマニュアルを整備しておく必要があるだろう。

過去問をいくつか見ましょう。

H22SC春午後Ⅱ問２
インシデント発生後の対応手順については、H22SC春午後Ⅱ問２がとても参考になる。

IRTでは,インシデント対応を円滑に行うためにIRTメンバ向けのインシデント対応マニュアルを作成することとし,その具体的な内容として図4に示す各項目を検討した。 (1)インシデント対応に必要なリソース(機器や情報など)の整備 (2)ログ管理 (3)ログなどにおける異常事象の分析 (4)インシテント発生時の初期対応と作業の記録 (5)インシデントの証拠収集 (6)収集した証拠の分析と原因の究明,システムの復旧方法 (7)社内外の連絡方法と最新のセキュリティ情報の収集 図4 1RTメンバ向けのインシデント対応マニュアルに記載する内容 図4中の(1)に関し,必要な機器については,予算面の問題もあることから,優先度の高いものから順に整備を進めていくことになった。また,業務系システムと開発系システムの構成情報は情報システム課と開発課,ネットワーク課が個別に管理していたが,既存のグループウェアを利用してIRTメンバが双方のシステムの構成情報を閲覧できるようにした。 図4中の(2)については,まず,現状を把握するために,現在の業務系と開発系のシステムで取得しているログの情報を収集し,リストアップすることにした。その結果,取得しているログの管理が機器ごとにそれぞれ異なることが判明した。このままでは,インシデントの原因究明に必要な情報を安全に確保及び保全することが困難なことから,  IRTでは今年度中に③ログ管理のポリシを策定することとした。来年度以降には各機器のログのバックアップと統合管理を行うシステムの導入を検討する予定である。 図4中の(3)については,情報システム課と共同でシグネチャベースのIPS(侵入防止システム)をDMZに導入し,攻撃を受ける可能性が高いDMZ上のサーバヘの脅威を分析することとした。開発系システムにもIPSの導入を検討したが,予算が厳しいことと,インターネットに対して公開しているサーバがないことから今年度の導入は見送った。ただし,開発系システムのFWのログについては定期的な分析を行うことにした。 図4中の(4)については,インシデント発生の報告を受けた後の対応について検討した。 PCの紛失やサーバヘの攻撃など,インシデントのタイプを何種類か想定し,そのタイプごとにインシデント原因の究明,被害の拡大防止及び仮復旧の方法をマニュアル化することにした。また,作業記録のフォーマットを整備し,個々のインシデント対応に当たってどのような作業を実施したかを記録することにした。 図4中の(5)は,いわゆるコンピュータフォレンジクスの技法についての検討である。インシデント発生時の被害の内容及び範囲の確認並びに発生原因の調査のために必要な情報を確実に保全し,発生した事象を様々な要素から解明することが目的である。 IRTでは,ネットワークのインシデントに関する情報はIPS及びFWでの監視並びにログの取得を行うことで保全することとした。また,コンピュータに接続された記憶媒体上の情報は専用の機器を導入して保全できるようにした。保全された情報は,IRTが分析を行うことにした。 図4中の(6)については,コンピュータフォレンジクスで利用する機器やソフトウェアのベンダや,セキュリティ団体が主催するセミナにIRTメンバが出席するなどして,具体的な技法の習得と(6)の手順化に努めることにした。 図4中の(7)については,インシデント発生時の社内の連絡網及び外部の連絡先を整理し,関連部署への周知を図った。また,外部からのセキュリティ情報の収集の際にIRTでは,インシデント対応のコミュニティにおいて広く利用されている実績がある④PGPを利用した電子署名を採用することにした。 このような検討を経て, IRTメンバ向けのインシデント対応マニュアルが完成し,X社のインシデント対応が本格的に始動することになった。

H28春SC午後2問1
ここでは、インシデントが発生したときの流れが書いてあります。
いきなり幹部に報告するのか、まずは現状調査をするのか、いきなり対処をするのか、迷いますよね。それらの順序付けがされています。

参考ですが、空欄aには「対応の要否」が入ります。

H22春SC午後2問2

T課長:場合によっては発生したインシデントの内容を［　b　］/cc (コーディネーションセンター)のような外部機関に報告する必要もありそうだ。そのような場合の手順も整備しないといけないね。 Sさん:どれだけ予防策をとってもインシデントの発生をゼロにすることはできないので,①インシデント対応の体制を事前に作っておくことが必要ではないでしょうか。 設問1 (1)本文中の[　b　]に入れる適切な字句を,10字以内で答えよ。 (2)本文中の下線①について,“事前に作っておくこどのメリットを,インシデントの原因究明の観点から,  35字以内で述べよ。 （H22春SC午後2問2）

試験センターの解答例は以下だ。

(1)JPCERT
(2) 原因究明に必要な情報の収集に迅速かつ組織的に着手できること

JPCERT/CCに関しては、以下も参照いただきたい。
http://sc.seeeko.com/archives/4554416.html


　過去問（H24春AP午後問9改編）を見ましょう。
　ポイントは、以下です。
・事後対応を適切にするには、事前の準備が大切である
・インシデントの影響範囲を拡大させない
・インシデントの原因・影響の調査に必要となる記録を消滅させない
・業務へ影響を最小限にする（やみくもにネットワークを切断したり、サーバを停止しない）

インシデント対応の経緯を整理したH部長は，G課長に次のような指摘をして，対応手順を見直すよう指示した。 (1)インシデント発生時の連絡体制の整備について ・今回関係者への連絡が遅れたという事実への反省から，インシデント発生時に連絡すべき社内各部署の責任者，及び外部の機関を一覧にして連絡先を記載し，それを関係者に配布する。 ・インシデントの内容や発生場所に応じて，[　e　]し，連絡先とともに文書化する。 (2)対応手順の整理について ・一部の部署には影響があったが，対応手順に大きな問題はなかった。しかし，対応手順をその場で検討するのではなく，インシデントの内容や発生場所ごとに手順をあらかじめ想定して，それを文書化しておくべきである。 ・今回の対応ではやむを得なかったが，セキュリティに関する攻撃を受けたおそれがあるなどの限定された状況以外では，ネットワークの切断を実施すべきではない。まず，対応手順の実施によってインシデントの影響範囲を拡大させないこととともに，インシデントの原因・影響の調査に必要となる記録を消滅させないことや業務へ影響を及ぼさないという，二次的損害の防止を考慮して対応手順を実施すべきである。また，実施に当たっては，[　f　]を怠らないことも重要である。あわせて，意思決定プロセスや判断基準をあらかじめ制定しておくことも検討すべきである。 ・今回の対応では，ログの解析作業において，各ログ間の前後関係がすぐには特定できず，作業に手間取るという事象が発生した。①このための対策を実施すべきである。 設問2 本文中の[　e　]に入れる適切な字句を20字以内で答えよ。 設問3 本文中の[　f　]に入れる適切な字句を，30字以内で答えよ。 設問4 本文中の下線①について，最も適切な対策を解答群の中から選び，記号で答えよ。 解答群 ア NTPサーバをネットワーク内に設置して，各機器の時刻を同期させる。 イ SNMPを使って，機器の情報を収集する。 ウ ログ解析ツールを導入する。 エ ログのバックアップを，書換え不能な媒体に取得する。

試験センターの解答例は以下です。
設問2　召集すべき要員をあらかじめ選定
設問３　影響を受けるおそれのある部署への事前連絡
設問４　ア

マルウェアに感染したPCの対応に関して、過去問（H25SC秋午後Ⅱ問1）に事例が載っているので掲載する。

Ｚ社のＸ氏が本社を訪れ，マルウェアＰの検出状況並びにＡ社のPC及びネットワーク構成について，Ｋ主任から説明を受けた。Ｘ氏は，まずＭさんのＰＣについて詳しく調査することにした。Ｘ氏は，②ＭさんのPCにおける設定が，バックアップされているかどうかを確認したが，Ａ社では設定のバックアップは取得していなかった。また，Ｘ氏は，プロキシで取得しているＷｅｂサイトへのアクセスログの提供をＫ主任に依頼した。 　Ｘ氏は，ＭさんのPCのハードディスク全体を別のハードディスクにコピーし，コピーの方のハードディスクを読取り専用でマウントし，調査した。 設問2(1)　本文中の下線②について，Ｘ氏がバックアップの有無を確認した目的を，30字以内で述べよ。

解答例は「マルウェア感染前後におけるOSの状態の差分を確認するため」である。

１．ディジタルフォレンジックスとは
情報セキュリティスペシャリスト試験を含む情報処理技術者試験では、ディジタルフォレンジックス（Digital Forensics） と コンピューターフォレンジクス（Computer Forensics）の両方の言葉が使われています。どちらも同じと考えてください。
 
過去問（平成27年春AP午前問43）では、ディジタルフォレンジックスの説明として，「不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を確保できるように，原因究明に必要なデータの保全，収集，分析をすること」と述べられています。また、コンピュータフォレンジクスというキーワードでは、「不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために，原因究明に必要な情報を収集して分析すること （SV平成18年午前　問44）」とあります。
Forensicとは「法廷の」という意味であり、法的な証拠を残すと考えてもいいでしょう。

２．過去問を見てみましょう
過去問（H19NWPM2-1）を見てみましょう。

次は,フォレンジックシステムに関する,M氏とN君の会話である。 M氏:システムログでは,例えば,特定データへのアクセスや,メールを送ったのがだれかというレベルの状況証拠的な記録は取れるが,実際の内容が分からないと,事故の調査・分析の証拠としては不十分なんだ。 N君:そうですね。最近はそうした問題を解決し,より高い証拠能力を確保するフォレンジック製品が注目されているようです。フォレンジックとは"法廷の"という意味で,あまり聞いたことがない言葉ですが,ディジタルデータの証拠保全,証拠収集のための活動や機能のことだそうです。 M氏:よく勉強しているようだね。それでは,当社で保存したい情報を,どこで,どのようにして採取するか考えてみよう。 フォレンジックシステムでは,ネットワーク上を流れる必要なパケットをすべて採取するフォレンジックサーバ(以下,  FSという)を設置する。 なお,FSの設置場所が適切でないと,期待する情報を採取できない。

　

フォレンジックとは、具体的には何をするのですか？

HPが改ざんされたり、不正侵入されて情報が盗まれたときを考えましょう。このとき、その原因および被害を把握するために証拠を集めます。
まずは、データの保全をします。インシデント発生時点のハードディスクをコピーしたりして、完全にその状態を保存しておきます。メモリ空間も大事です。コマンド履歴などが残っているからです（これはメモリにしか記憶されていない）。きちんと保全しておけば、削除したファイルも、ハードディスクには残っています。それを復元して調査ができます。
次は、その証拠をもとに、不正侵入の事象・経路、被害の影響などを調査する。
  再掲ではあるが、インシデント発生後の対応手順については、H22SC春午後Ⅱ問２がとても参考になる。 その中で、コンピュータフォレンジックに関する部分を抜粋する。

IRTでは,インシデント対応を円滑に行うためにIRTメンバ向けのインシデント対応マニュアルを作成することとし,その具体的な内容として図4に示す各項目を検討した。 （中略） (3)ログなどにおける異常事象の分析 (4)インシテント発生時の初期対応と作業の記録 (5)インシデントの証拠収集 （中略） 図4 1RTメンバ向けのインシデント対応マニュアルに記載する内容 （中略） 図4中の(3)については,情報システム課と共同でシグネチャベースのIPS(侵入防止システム)をDMZに導入し,攻撃を受ける可能性が高いDMZ上のサーバヘの脅威を分析することとした。開発系システムにもIPSの導入を検討したが,予算が厳しいことと,インターネットに対して公開しているサーバがないことから今年度の導入は見送った。ただし,開発系システムのFWのログについては定期的な分析を行うことにした。 （中略） 図4中の(5)は,いわゆるコンピュータフォレンジクスの技法についての検討である。インシデント発生時の被害の内容及び範囲の確認並びに発生原因の調査のために必要な情報を確実に保全し,発生した事象を様々な要素から解明することが目的である。 IRTでは,ネットワークのインシデントに関する情報はIPS及びFWでの監視並びにログの取得を行うことで保全することとした。また,コンピュータに接続された記憶媒体上の情報は専用の機器を導入して保全できるようにした。保全された情報は,IRTが分析を行うことにした。

３．ログ分析とフォレンジックの違い
　

初歩的な質問ですが、ログ分析とフォレンジック分析は別物ですか？
ログ分析は、あくまでもログだけ。フォレンジック分析はログ以外も対象にしている。

 

多くの企業は、フォレンジックなんてやっていないと思います。ログ分析だけではだめなのですか？
ログは一部の情報しか出力されない。ログだけでは分からないから、実際のファイルやレジストリなどを確認する。たとえば、ログに、「あるファイルにアクセスした」とあれば、そのファイルが機密情報なのか、確認する必要がある。「ファイルを置いた」とあれば、それがウイルスなどの悪意のものなのかを確認する。
それに、管理者権限を乗っ取られると、そもそもログを消される可能性もある。
　


じゃあ、最初からフォレンジック解析で、該当ファイルを調査すればいいのでは？
ファイルの数は膨大である。数ギガにおよぶことはよくある。だから、非効率だ。ログを分析して、攻撃等の状況を把握し、あたりをつけて実際のファイルなどを確認するのがよい。ログのあたりの付け方に関しては、経験と勘になるかもしれないが、ヒアリングから該当時刻近辺での不審な動作がないかを中心に確認する。アクセス履歴やログイン履歴などを見たり、システムログなどを見たりするところから始まるだろう。 

過去問（H25秋AP午前）を解いてみましょう。

問43　ディジタルフォレンジックスでハッシュ値を利用する目的として，適切なものはどれか。 ア　一方向性関数によってパスワードを変換して保存する。 イ　改変された証拠を復元する。 ウ　証拠と原本との同一性を証明する。 エ　パスワードの盗聴の有無を検証する。

正解はウです。

４．過去問（H22春SC午後2問2）を見てみましょう

U君が証拠収集に必要な機材を持参して開発課に駆けつけたところ,当該サーバ機はU君が電話で問い合わせた直後に担当者がシャットダウンし,電源が切断された後だった。このため、⑦U君はこのサーバ機の電源を再投入せず、サーバ機からハードディスクを取り出した。取り出したハードディスクの内容は,専用の複製装置を用いて別のハードディスクに全セクタを複製し、⑧この複製に対してフォレンジックツールを実行して解析を行った。 設問4 〔インシデントの発生と対応〕について,  (1),  (2)に答えよ。 (1)本文中の下線⑦について, U君が電源を再投入しなかった理由を40字以内で述べよ。 (2)本文中の下線⑧について, U君が取り出したハードディスクを直接用いて解析を行わなかった理由を35字以内で述べよ。 （H22春SC午後2問2）

試験センターの解答例は以下である。
設問4 (1) 再起動することでサーバ機上のファイルが改変される可能性があるから
 (2) 解析の際に原本のデータを書き換えてしまう可能性があるから

■参考：フォレンジックツール
フォレンジック解析では、イベントログやレジストリなどを地道に見るのは大変です。
有料のものもありますが、無料のツールもあり、それらを使うことで解析のサポートができます。
Nir Sofer氏のソフトが有名で、以下にたくさんのツールが紹介されています。
http://www.nirsoft.net/utils/
いくつか紹介します。

■USBdeview
このツールを使うと、USBの接続情報や、抜き差しの記録がわかります。
http://www.nirsoft.net/utils/usb_devices_view.html
USBによるデータ持出しなどの履歴を確認することに利用できるでしょう。ただし、接続履歴は分かりますが、ファイルのコピーは分かりません。

■fulleventlogview
このツールを使うと、イベントログが整理されて表示されます。
http://www.nirsoft.net/utils/full_event_log_view.html

■winprefetchview
http://www.nirsoft.net/utils/win_prefetch_view.html
exeファイルを実行すると、C:\Windows\Prefetch　にPrefetchファイルが作成されます。そのファイルをリスト化してくれます。結果、どんなアプリケーションを実行したかがわかります。

緊急時の連絡先をまとめておくことは重要です。
一刻を争うのに、誰に連絡すればいいのか、そして、その連絡先がわからないと確実に対応が遅れます。

ちなみに、日本の場合だと、事件や事故が起こった場合、警察は110番、人命救助は119で救急車を呼べることを皆さんが知っています。
これも、ある意味、国家として緊急連作先が整理されていると言えます。