Microsoft PowerPoint - IncidentResponce

Size: px

Start display at page:

Download "Microsoft PowerPoint - IncidentResponce"

まなまつかた
5 years ago
Views:

1 応 :~ インシデントに対応する ( 発見と調整 )~ インシデントレスポンス概論 JPCERT コーディネーションセンター細野英朋 office@jpcert.or.jp 1

2 本講演の流れ 1. インシデントレスポンスインシデントとは? インシデントレスポンスとは? インシデントレスポンスはなぜ必要か? 2. インシデント対応手順インシデントレスポンスに必要なもの対応手順 3. CSIRT CSIRTとは? Appendix: 1. CSIRTとJPCERT/CCのあゆみ 2. 参考資料など 2

3 1. インシデントレスポンス 3

4 インシデントとはコンピュータセキュリティインシデントとはコンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの ( その疑いがある場合 ) インシデントは不正アクセスと違い世界的に広く使われている用語 RFC(Request For Comments) でも用いられている 4

5 インシデントの分類 ( 一例 ) スキャン脆弱なアカウントの探索侵入未遂などシステムへの侵入 DoS(Denial Of Service) サーバプログラムの停止再起動 Web 偽装詐欺 (phishing) 銀行などのサイトを装ったページをつくり個人情報を盗むインシデントではないものいわゆる spam メールの配信ワンクリック詐欺など 5

6 インシデント発生時最大の問題最大の問題は? インシデントの発生に気が付かず放置その結果踏み台に踏み台にならないようにするためにはいかにインシデントの発生にすばやく気付くかいかに適切に連絡調整を行なうかが重要 6

7 インシデントレスポンスとはインシデントは起こるという前提に基づきインシデントの拡大を防ぐための事後の対応事後の対応を検討および確認するための事前の対応事前の対応も含まれる 7

8 インシデントレスポンスの必要性守るだけがセキュリティではない人間が扱うものに完璧例えばミスや制御不可能な事由修正プログラムの適用忘れ設定更新時の作業漏れ未知の脆弱性を突かれる修正プログラムの提供が間に合わないなど完璧はない! 8

9 まずポリシーの策定あなたの組織にとってのインシデントとは? 守るべきもの優先すべきもの想定されるダメージシステム設計時に考慮整理しておく項目提供するサービスアクセス制御認証保守管理体制 9

10 インシデント発見対応手順の明確化事前に明確にしておくべき項目の一例ログの取得内容確認手順不審なプロセスや通信改ざんの検知異常事態発生時の報告の仕組み whois 情報などの公開連絡先公開連絡先を通してインシデント通知連絡を受けることもある不要なメールも届くことを覚悟する 10

11 2. インシデント対応手順 11

12 インシデントレスポンスに必要なもの組織の体制対応手順予行演習専門のチーム (CSIRT) スタッフの資質知識技術想定外の事態への対応能力柔軟性冷静さモラル 12

13 手順 1: 体制をととのえる手順 1: : 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡広報手順 4: 復旧と再発防止手順 5 : その後の対応インシデントが発生した? と思ったらまずは深呼吸 ( 冷静になりましょう ) 手順の確認セキュリティポリシー作業マニュアル作業記録の作成対応時刻対応者対応内容を簡潔に責任者担当者への連絡連絡体制の整備インシデント対応の担当者への連絡 13

14 手順 2: 初期対応手順 1: 体制をととのえる手順 2: : 初期対応手順 3: 関係者への連絡広報手順 4: 復旧と再発防止手順 5 : その後の対応事実の確認本当にインシデントなのか? ( 正当なアクセスもある ) ログなどの保全調査や分析連絡などに必要提出を求められることもあるネットワーク接続やシステムの遮断停止 14

15 手順 3: 関係者への連絡広報手順 1: 体制をととのえる影響範囲の特定手順 2: 初期対応関係サイトへの連絡謝罪情報提供手順 3: : 関係者への連絡広報手順 4: 復旧と再発防止インシデントの事実の公表公表の是非を含めて検討公表する範囲に注意手順 5 : その後の対応アクセス元などへの通知連絡 JPCERT/CC 経由でも可能 15

16 手順 4: 復旧と再発防止手順 1: 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡広報要因の特定脆弱性? 運用体制? あるいは複数の要因? システムの復旧バックアップメディアからの復旧手順 4: : 復旧と再発防止再発防止策の検討実施手順 5 : その後の対応 16

17 手順 5: その後の対応手順 1: 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡広報手順 4: 復旧と再発防止手順 5 : その後の対応作業結果の報告と作業の評価忘れずに! ポリシー運用監視体制運用手順の見直し上位部署やトップも巻き込む JPCERT/CC などへ報告 17

18 3. CSIRT 18

19 CSIRT とはコンピュータセキュリティインシデントに対応する組織体報告を受け取る調査する対応活動を行う他すべての CSIRT がすべてを行うわけではない一般名詞は CSIRT (Computer Security Incident Responce Team) 単語 CERT (Computer Emergency Response Team) は米国 CERT/CC の登録商標 19

20 CSIRT の分類 constituency( サービス対象 ) によって分類 Internal CSIRTs 自組織や顧客が関わるインシデントに対応 National CSIRTs 国地域のコンタクトポイント Coordination Centers Analysis Centers Vendor Teams 自社製品の脆弱性について対応 Incident Response Providers いわゆるセキュリティベンダ 20

21 CSIRT と連絡スキームの関係インシデント発生!! 対応依頼原因となったホスト直接技術連絡担当者に連絡インシデントが発生したホスト JPCERT/CC などの CSIRT 間ネットワーク技術連絡担当者 (ISP の Abuse 担当者など ) CSIRTを通して技術連絡担当者に連絡 21

22 他の CSIRT や xsp との連携速やかで効率的効果的な通知連絡が可能 xsp や別の CSIRT がより適切な通知連絡先を知っている場合がある xsp の顧客対応窓口はもっともユーザに近いところにいる CSIRT のひとつ技術的なアドバイス非技術的なアドバイス ( 何をすべきか何をしてもいいか何をしてはいけないかなど ) ( お勧めはしませんが ) 約款などを根拠にサービスを停止できる 22

23 情報の収集と流通情報収集と流通も CSIRTの大切な業務活動例脆弱性情報流通さまざまな CSIRT が脆弱性情報 ( 有料無料 ) を発信比較検討のうえ活用インシデント傾向の把握さまざまな CSIRT が公開する注意喚起定点観測のデータを活用啓発活動講演の聴講カンファレンスやワークショップへの参加自身の constituency へ知識技術などをフィードバック 23

24 まとめインシデントはいつかは起こる事後対応とそのための事前対応が不可欠インシデントレスポンスに必要なもの体制 ( 対応手順の整備予行演習 CSIRT) 資質 ( 知識技術柔軟性冷静さモラル ) インシデントレスポンスでの CSIRT の重要性 CSIRT 間の連携連携によって速やかで効率的効果的な通知連絡が可能普段からの情報収集と流通情報収集と流通もCSIRTの大切な業務 24

25 Appendix 1. CSIRT と JPCERT/CC のあゆみ 25

26 CSIRT JPCERT/CC 関連年表 JPCERT 活動 1992 頃 ~1996 Morris Worm 事件 (1988) 米国 CERT/CC 設立 (1988) FIRST 発足 (1990) JPCERT/CC 第一期 ( 任意団体時代 ) 1996~2003 JPCERT/CC FIRST 加盟 (1998) JPCERT/CC ( 中間法人化 ) 2003~ JPCERT/CC 定点観測事業開始 (2003) JPCERT/CC 脆弱性情報流通開始 (2004) 商用インターネット 1995 頃 ~ FIRST 加盟 CSIRT 170 チームを突破 (2005) 26

27 Appendix 2. 参考資料 27

28 参考 URL(JPCERT/CC 発行 ) 技術メモコンピュータセキュリティインシデントへの対応管理者のためのセキュリティ推進室インシデントレスポンス入門 (@IT 連載記事 ) 28

29 参考 URL( 他組織発行 ) インシデントの分類米国 Sandia National Laboratories の報告書 A Common Language for Computer Security Incidents CSIRT の分類 RFC2350 Expectations for Computer Security Incident Response 原文 ) (IPA による日本語訳 ) FIRST(Forum of Incident Response and Security Teams) メンバー一覧 29

30 参考文献 ( 書籍 ) Kevin Mandia Chris Prosise インシデントレスポンス訳 : エクストランス監修 : 坂井順行新井悠翔泳社 ISBN

31 JPCERT/CC へのアクセス Web メーリングリストインシデント報告 PGP:BA F4 D9 FA B8 FB F EE 3C 2B 13 F0 48 B8 報告様式インシデント報告の際はお使いください ) インシデント報告専用ファックス ( 電話ではインシデント報告を受け付けておりません ) 31

32 Thank you 32

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp インシデントレスポンスとは Computer Security Incident ( 以降インシデントと略 ) コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの弱点探索リソースの不正使用サービス運用妨害行為など不正アクセス ( 行為 ) は狭義に規定された