Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Size: px

Start display at page:

Download "Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC"

ともなりとみもと
5 years ago
Views:

1 インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人

2 インシデントレスポンスとは

3 Computer Security Incident ( 以降インシデントと略 ) コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの弱点探索リソースの不正使用サービス運用妨害行為など不正アクセス ( 行為 ) は狭義に規定された

4 インシデントの分類米国 Sandia National Laboratories の報告書 A Common Language for Computer Security Incidents

5 JPCERT/CC によるインシデントの分類報告者の視点で分類サービス運用妨害 (DoS: Denial of Service) 分散型サービス運用妨害 (DDoS: Distributed Denial of Service) 詐称 ( 電子メール ) サービスの悪用不正中継侵入無権限アクセス弱点探索 ( スキャンプローブ ) 未遂に終わったものを含むその他 (JPCERT/CC で扱えないものなど )

6 守るだけがセキュリティではない人為的ミス ( パッチの適用忘れなど ) 未知 ( 公知になっていない ) の脆弱性の悪用パッチの提供が間に合わない 100% 安全はありえないいかに素早くインシデントに気づき対応できるかが重要

7 インシデントレスポンスとはインシデントは起こるという前提に基づいた事後の対応未然に防ぐための事前の対応も含まれる

8 インシデントを発見する手順の明確化ログの取得内容の事前の整理ログの確認不審なプロセス通信の検知改ざんの検知 ( 完全性の確認 ) 異常事態発生時の報告の仕組みなど外部からの通知連絡で気が付くケースもある

9 それは本当にインシデント? 操作ミス設定ミス? 連絡ミス? ident (113/tcp) のようにこちらからのアクセスに伴う外部からの正規のアクセス? まずは落ち着いて冷静に確認判断

10 万が一の事態 ( インシデント ) が起こった後の対応手順技術メモ - コンピュータセキュリティインシデントへの対応

11 手順 1 手順の確認セキュリティポリシー作業マニュアル作業記録の作成責任者担当者への連絡連絡体制の整備インシデント対応の担当者への連絡

12 手順 2 事実の確認本当にインシデントなのか? スナップショットの保存後の調査分析ネットワーク接続やシステムの遮断もしくは停止意思決定プロセスや判断基準の事前の整理具体的な作業手順の明確化

13 手順 3 影響範囲の特定漏洩した情報の機密性の度合い踏み台としていつどこを攻撃してしまったか? 渉外関係サイトへの連絡サイト内外への謝罪情報提供アクセス元などへの通知連絡技術メモ - 関係サイトとの情報交換

14 手順 4 要因の特定どの脆弱性が悪用されたのか? システムの復旧バックアップメディアからの復旧再発防止策の検討実施

15 手順 5 監視体制の強化作業結果の報告作業の評価ポリシー運用体制運用手順の見直し JPCERT/CC などへ報告

16 ポリシーの策定あなたの組織にとって何が一番大切なのですか? 何を守りたいのですか? 何を優先すべきなのですか? 想定されるダメージは? あなたの組織にとってのインシデントとは? OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation

17 参考文献管理者のためのセキュリティ推進室インシデントレスポンス入門

18 インシデントレスポンスに必要なもの専門のチーム (CSIRT) 普段から予行演習などを行なっておく想定されるインシデントのそれぞれについて対応手順を整備想定外のインシデントへの柔軟な対応冷静さ落ち着いて行動

19 CSIRT とは (Computer Security Incident Response Team)

20 CSIRT の歴史 1988 年 11 年 Morris worm 事件米国カーネギーメロン大学の CERT/CC (Computer Emergency Response Team ) CERT という単語は CERT/CC の登録商標現在では世界中に多数の組織 CERTCC-KR ( 韓国 ) AusCERT ( オーストラリア ) CERT-Renater ( フランス ) 組織によって形態対応内容は様々 RFC 2350 参照

21 CSIRT の分類 constituency Internal CSIRTs National CSIRTs national = s Analysis Centers Vendor Teams Incident Response Providers

22 xsp との連携 xsp の顧客対応窓口は最もユーザに近いところにいる CSIRT の 1 つである踏み台にされている可能性のあるユーザへの速やか且つ効率的な通知連絡 ( 可能であれば ) 必要に応じて対応のアドバイス技術的非技術的ポインタを示すだけでもかなりの効果

23 JPCERT/CC によるインシデント対応の流れインシデント報告報告元サイト他の CSIRT など受領確認転送内容の確認 ( 初回のみ ) 結果報告 JPCERT/CC 状況のご説明など WHOIS DB 技術連絡担当者宛ご回答 ( 状況説明など ) より適切な担当者などご転送関連サイト ( アクセス元など )

24 ベンダとの連携脆弱性情報についての問合せ窓口の設置発見者とベンダとの間のコーディネーション対応内容 ( パッチ情報など ) の確認 JVN (JPCERT/CC Vendor Status Notes) 本運用に向けて準備中

25 付録

26 JPCERT/CC 発行の技術メモコンピュータセキュリティインシデントに対する一般的な対応方法についての説明サイトごとのポリシー策定などの参考に

27 JPCERT/CC へのアクセス Web: 報告様式 : メーリンクリスト : ファックス : ( 変更されました ) 電話によるインシデント報告は受け付けておりません

Microsoft PowerPoint - IncidentResponce

Microsoft PowerPoint - IncidentResponce 応 :~ インシデントに対応する ( 発見と調整 )~ インシデントレスポンス概論 JPCERT コーディネーションセンター細野英朋 office@jpcert.or.jp 1 本講演の流れ 1. インシデントレスポンスインシデントとは? インシデントレスポンスとは? インシデントレスポンスはなぜ必要か? 2. インシデント対応手順インシデントレスポンスに必要なもの対応手順 3. CSIRT