叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

事件は現場で起きている

CSIRT

日本年金機構でおきた標的型攻撃の「検証報告書」はセキュリティ対策を理解する上でよいお手本だと思います。この報告書では情報セキュリティの人的対策と技術的対策の根本的な原因として次のように述べています。

緊急事態に迅速に対応すべきCSIRTが機構において組織されていないため、何らの備えもなく5月8日の第一段階の攻撃を迎え、情報セキュリティの専門知識を有する職員を動員できず、外部の専門家にも協力を得ないままで、担当者と運営委託会社とが、判明した個々の感染端末の特定と抜線に終始し後手に回ったことがあげられる。
「検証報告書(要約版)日本年金機構における不正アクセスによる情報流出事案検証委員会」より)

CSIRT(シーサート)とはセキュリティインシデントを対応する組織の総称です。これは各会社においても設置されるべき組織です。国家レベルのCSIRTとしては、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを技術的な立場から行なうJPCERT/CCがあります。

「みなさまが勤めている会社・組織にCSIRTはありますでしょうか?」

おそらく多くの方はこの質問に対して、
f:id:slowtrain2013:20200419023704p:plain:w150
ではないかと想像します。わたしも自分の勤めている会社にCSIRTがあるか否かがわかっていません。会社にCSIRTが存在しない、仮に存在していたとしてもその認識が社員にないというのは、多くの日本の会社に共通する現状だと思います。

これを言い換えると、日本の多くの会社はセキュリティインシデントに対して無防備であるということです。怖い話ですね・・・。

日本の会社や組織は、情報システムの運用を外部に丸投げしているため、インシデントが発生しても委託先が対応するものだと考え、自分事として考えていないフシがあるのかもしれません。

まだ記憶に新しい「神奈川県のHDD(ハードディスクドライブ)が、リース終了後に初期化されずに転売された事件」もその想像を裏付けます。神奈川県は、富士通リースにディスクの消去を委託しているのに「消去完了証明書」が来ないと被害者として振る舞い、富士通リースはブロードリンクに機器廃棄を丸投げしているので分からないと無言を決め、ブロードリンクは作業員の仕事を管理してなく被害届を出し懲戒解雇・・・。「世界最悪級の流出」と報じられたインシデントは、どの組織や会社も下に責任を押し付けるおぞましさでした。これでも、富士通リースもブロードリンクもISO27001を取得しているんですよね!!
www.asahi.com

インシデント対応フロー

もしもインシデントが発生した際は対応フローにのっとって行うことが大切です。この対応フローは会社・組織により適宜策定されますが、「初期対応」➡️「暫定対応」➡️「恒久対応」の順序はきっちりおさえておく必要があります。残念ながら、この流れを読むことなく、初期対応もままならない中で、情報漏洩をさせてしまった担当者に責任を取らせたり、暫定対応が出来ていない中で、再発防止策を表明したりとチグハグな手順を見ます。

f:id:slowtrain2013:20200419175023p:plain

この対応フローでの肝となるのが、デジタルフォレンジックです。「日本年金機構における不正アクセスによる情報流出事案検証委員会」の検証報告書に於いても、この対応が出来ていなかったことに触れています。

これは証拠保全のことで、不正アクセスなどのコンピュータに関わる情報を保全し、原因究明に役立てるものです。この作業を行う際には、パソコンの電源はオンにしてネットワークから切り離すことが重要です。何故ならメモリ内のデータは、OSがシャットダウンされると消去されるためです。デジタルフォレンジックスにより次のようなデータを確保します。

  • メモリ内のデータ
  • ディスクの物理コピー
  • サーバやネットワーク機器のログ
  • 通信パケットデータ

「事件は会議室で起きているんじゃない。現場で起きているんだ!」この名セリフを情報セキュリティインシデント世界で行うのがデジタルフォレンジックスというわけです。
youtu.be

そして、世間を騒がせた日本年金機構個人情報流出事件は、容疑者不詳のまま時効を迎えました。
www.sankei.com