Microsoft PowerPoint - IncidentResponce

Similar documents
Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

組織内CSIRTの役割とその範囲

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

ログを活用したActive Directoryに対する攻撃の検知と対策

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

日本企業のCSIRT実例紹介

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

インシデントハンドリング業務報告書

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

<4D F736F F F696E74202D208A438A4F82CC835A834C A CE8DF482CC93AE8CFC82C982C282A282C4>

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

NTTannual2015.indd

CSIRTガイド

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

Microsoft PowerPoint _revised.ppt

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

組織内CSIRT構築の実作業


スライド 0

最新のサイバーセキュリティの脅威

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

~ 目次 ~ 内 容 頁 1 不正アクセス禁止法の概要 不正アクセス禁止法の概要 不正アクセス禁止法で禁止されている行為 ( 抜粋 ) 他人に成り済ます行為 セキュリティホールを突く行為 不正アクセスを準備する行為等 3 1-3

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

Microsoft Word Aプレスリリース案_METI修正_.doc

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

Zone Poisoning

中小企業向け サイバーセキュリティ対策の極意

情報セキュリティの現状と課題

なぜシーサートが必要なのか~ CSIRTの現状と構築のすすめ~

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

内容 JPCERT/CCとは 組織の概要 自己紹介世界の大学は今日本の大学 外部からの脅威 内なる脅威大学生とSNS 高まるソーシャルエンジニアリングのリスクインシデントレスポンス時代に即したセキュリティ教育まとめ Page 2

フィッシング対策協議会(じ)

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

SHODANを悪用した攻撃に備えて-制御システム編-

Microsoft PowerPoint - インターネットセキュリティ動向 Web

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ACTIVEプロジェクトの取り組み

Microsoft Word - 01_LS研IT白書原稿_2012年度_統合版__ _v1 2.doc

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

障害管理テンプレート仕様書

KSforWindowsServerのご紹介

目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

2010年2月3日

マルウェアレポート 2018年2月度版

Microsoft PowerPoint - [印刷用] _r1.1.pptx

1.indd

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

PowerPoint プレゼンテーション

metis ami サービス仕様書

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

Webエムアイカード会員規約

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

PowerPoint プレゼンテーション


SiteLock操作マニュアル

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

これだけは知ってほしいVoIPセキュリティの基礎

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

マルウェアレポート 2017年9月度版

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

PowerPoint プレゼンテーション

マルウェアレポート 2017年12月度版

Dropbox にファイルを追加する Dropbox フォルダの場所を決め 使い始める準備が整いま した さあ ファイルを Dropbox フォルダに入れましょう ステップ 1 ファイルを Dropbox へドラッグアンドドロップします ステップ 2 青色のアイコンが表示され ファイルが Dropb

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

制御システムセキュリティアセスメントサービス

HULFT-WebConnectサービス仕様書

PowerPoint Presentation

ICT-ISACにおけるIoTセキュリティの取組について

Microsoft PowerPoint - APC pptx

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

Microsoft Word - WO-WS_EOL_Customer_FAQ-JP doc

製品概要

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

【ドコモあんしんスキャン】サービスマニュアル

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

教科書の指導要領.indb

ライフサイクル管理 Systemwalker Centric Manager カタログ

ArcGIS for Developers 開発者アカウント作成ガイド

利用約款別紙 SkyCDP for AWS 基本サービス仕様書 この仕様書は SkyCDP for AWS の基本サービスに関する内容 方法について記述したものです 尚 SkyCDP for AWS オプションサービスをご利用のお客様は各 SkyCDP for AWS オプションサービスのご契約内容

ALogシリーズ 監査レポート集

Microsoft Word - CSIRT-starter-kit.doc

Proventia xls

はじめての暗号化メール(Thunderbird編)

目次 広告に関する問題の再整理 2ページ 問題 1: 海賊版サイトへの広告出稿 配信の実態 3ページ 改善策 -- 海賊版サイトへの広告出稿 配信 4ページ 問題 2: アドフラウド ( 広告詐欺 ) の実態 5ページ 対応策 -- アドフラウド ( 広告詐欺 ) 6ページ 対策の進捗 CODA 提

【PDF】MyJCB利用者規定(セブン銀行用)

ホームページ・ビルダー サービス「ライトプラン」

ホームページ・ビルダー サービス「ライトプラン」

PowerPoint プレゼンテーション

変更履歴 日付 Document ver. 変更箇所 変更内容 06/7/.00 - 新規作成 06/8/9.0 管理プロファイルを登録する Web フィルタリング の記載を追加 07//6.0 全体 連絡先ポリシーを共有アドレス帳に変更 全体 参照 以下 等に係る記載揺れの統一 07/0/.03

Transcription:

応 :~ インシデントに対応する ( 発見と調整 )~ インシデントレスポンス概論 JPCERT コーディネーションセンター細野英朋 office@jpcert.or.jp 1

本講演の流れ 1. インシデントレスポンス インシデントとは? インシデントレスポンスとは? インシデントレスポンスはなぜ必要か? 2. インシデント対応手順 インシデントレスポンスに必要なもの 対応手順 3. CSIRT CSIRTとは? Appendix: 1. CSIRTとJPCERT/CCのあゆみ 2. 参考資料など 2

1. インシデントレスポンス 3

インシデントとは コンピュータセキュリティ インシデントとは コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの ( その疑いがある場合 ) インシデント は 不正アクセス と違い世界的に広く使われている用語 RFC(Request For Comments) でも用いられている 4

インシデントの分類 ( 一例 ) スキャン 脆弱なアカウントの探索 侵入未遂など システムへの侵入 DoS(Denial Of Service) サーバプログラムの停止 再起動 Web 偽装詐欺 (phishing) 銀行などのサイトを装ったページをつくり 個人情報を盗む インシデントではないもの いわゆる spam メールの配信 ワンクリック詐欺など 5

インシデント発生時最大の問題 最大の問題は? インシデントの発生に気が付かず 放置 その結果 踏み台に 踏み台にならないようにするためには いかにインシデントの発生にすばやく気付くかいかに適切に連絡 調整を行なうか が重要 6

インシデントレスポンスとは インシデントは起こる という前提に基づきインシデントの拡大を防ぐための 事後の対応 事後の対応 を検討および確認するための 事前の対応事前の対応 も含まれる 7

インシデントレスポンスの必要性 守るだけがセキュリティではない 人間が扱うものに 完璧 例えば ミスや制御不可能な事由 修正プログラムの適用忘れ 設定更新時の作業漏れ 未知の脆弱性を突かれる 修正プログラムの提供が間に合わないなど 完璧 はない! 8

まず ポリシーの策定 あなたの組織にとっての インシデント とは? 守るべきもの 優先すべきもの 想定されるダメージ システム設計時に考慮 整理しておく項目 提供するサービス アクセス制御 認証 保守 管理体制 9

インシデント発見 対応手順の明確化 事前に明確にしておくべき項目の一例 ログの取得内容 確認手順 不審なプロセスや通信 改ざんの検知 異常事態発生時の報告の仕組み whois 情報などの公開連絡先 公開連絡先を通してインシデント通知連絡を受けることもある 不要なメールも届くことを覚悟する 10

2. インシデント対応手順 11

インシデントレスポンスに必要なもの 組織の体制 対応手順 予行演習 専門のチーム (CSIRT) スタッフの資質 知識 技術 想定外の事態への対応能力 柔軟性 冷静さ モラル 12

手順 1: 体制をととのえる 手順 1: : 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡 広報手順 4: 復旧と再発防止手順 5 : その後の対応 インシデントが発生した? と思ったら まずは深呼吸 ( 冷静になりましょう ) 手順の確認 セキュリティポリシー 作業マニュアル 作業記録の作成 対応時刻 対応者 対応内容を簡潔に 責任者 担当者への連絡 連絡体制の整備 インシデント対応の担当者への連絡 13

手順 2: 初期対応 手順 1: 体制をととのえる手順 2: : 初期対応手順 3: 関係者への連絡 広報手順 4: 復旧と再発防止手順 5 : その後の対応 事実の確認 本当にインシデントなのか? ( 正当なアクセスもある ) ログなどの保全 調査や分析 連絡などに必要 提出を求められることもある ネットワーク接続やシステムの遮断 停止 14

手順 3: 関係者への連絡 広報 手順 1: 体制をととのえる 影響範囲の特定 手順 2: 初期対応 関係サイトへの連絡 謝罪 情報提供 手順 3: : 関係者への連絡 広報手順 4: 復旧と再発防止 インシデントの事実の公表 公表の是非を含めて検討 公表する範囲に注意 手順 5 : その後の対応 アクセス元などへの通知連絡 JPCERT/CC 経由でも可能 15

手順 4: 復旧と再発防止 手順 1: 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡 広報 要因の特定 脆弱性? 運用体制? あるいは複数の要因? システムの復旧 バックアップメディアからの復旧 手順 4: : 復旧と再発防止 再発防止策の検討 実施 手順 5 : その後の対応 16

手順 5: その後の対応 手順 1: 体制をととのえる手順 2: 初期対応手順 3: 関係者への連絡 広報手順 4: 復旧と再発防止手順 5 : その後の対応 作業結果の報告と作業の評価 忘れずに! ポリシー 運用 監視体制 運用手順の見直し 上位部署やトップも巻き込む JPCERT/CC などへ報告 17

3. CSIRT 18

CSIRT とは コンピュータセキュリティ インシデントに対応する組織体 報告を受け取る 調査する 対応活動を行う 他 すべての CSIRT がすべてを行うわけではない 一般名詞は CSIRT (Computer Security Incident Responce Team) 単語 CERT (Computer Emergency Response Team) は米国 CERT/CC の登録商標 19

CSIRT の分類 constituency( サービス対象 ) によって分類 Internal CSIRTs 自組織や顧客が関わるインシデントに対応 National CSIRTs 国 地域のコンタクトポイント Coordination Centers Analysis Centers Vendor Teams 自社製品の脆弱性について対応 Incident Response Providers いわゆる セキュリティベンダ 20

CSIRT と連絡スキームの関係 インシデント発生!! 対応依頼 原因となったホスト 直接技術連絡担当者に連絡 インシデントが発生したホスト JPCERT/CC などの CSIRT 間ネットワーク 技術連絡担当者 (ISP の Abuse 担当者など ) CSIRTを通して技術連絡担当者に連絡 21

他の CSIRT や xsp との連携 速やかで効率的 効果的な通知 連絡が可能 xsp や別の CSIRT がより適切な通知連絡先を知っている場合がある xsp の顧客対応窓口はもっとも ユーザ に近いところにいる CSIRT のひとつ 技術的なアドバイス 非技術的なアドバイス ( 何をすべきか 何をしてもいいか 何をしてはいけないか など ) ( お勧めはしませんが ) 約款などを根拠にサービスを停止できる 22

情報の収集と流通 情報収集と流通も CSIRTの大切な業務 活動例 脆弱性情報流通 さまざまな CSIRT が脆弱性情報 ( 有料 無料 ) を発信 比較 検討のうえ活用 インシデント傾向の把握 さまざまな CSIRT が公開する注意喚起 定点観測のデータを活用 啓発活動 講演の聴講 カンファレンスやワークショップへの参加 自身の constituency へ知識 技術などをフィードバック 23

まとめ インシデントはいつかは起こる 事後対応と そのための事前対応が不可欠 インシデントレスポンスに必要なもの 体制 ( 対応手順の整備 予行演習 CSIRT) 資質 ( 知識 技術 柔軟性 冷静さ モラル ) インシデントレスポンスでの CSIRT の重要性 CSIRT 間の連携連携によって速やかで効率的 効果的な通知 連絡が可能 普段からの情報収集と流通情報収集と流通もCSIRTの大切な業務 24

Appendix 1. CSIRT と JPCERT/CC のあゆみ 25

CSIRT JPCERT/CC 関連年表 1988 1990 1992 1994 1996 1998 2000 2002 2004 2006 JPCERT 活動 1992 頃 ~1996 Morris Worm 事件 (1988) 米国 CERT/CC 設立 (1988) FIRST 発足 (1990) JPCERT/CC 第一期 ( 任意団体時代 ) 1996~2003 JPCERT/CC FIRST 加盟 (1998) JPCERT/CC ( 中間法人化 ) 2003~ JPCERT/CC 定点観測事業開始 (2003) JPCERT/CC 脆弱性情報流通開始 (2004) 商用インターネット 1995 頃 ~ FIRST 加盟 CSIRT 170 チームを突破 (2005) 26

Appendix 2. 参考資料 27

参考 URL(JPCERT/CC 発行 ) 技術メモ http://www.jpcert.or.jp/ed/ コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt 管理者のためのセキュリティ推進室インシデントレスポンス入門 http://www.jpcert.or.jp/magazine/atmarkit/ (@IT 連載記事 ) 28

参考 URL( 他組織発行 ) インシデントの分類米国 Sandia National Laboratories の報告書 A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf CSIRT の分類 http://www.cert.org/csirts/csirt_faq.html RFC2350 Expectations for Computer Security Incident Response http://www.ietf.org/rfc/rfc2350.txt( 原文 ) http://www.ipa.go.jp/security/rfc/rfc2350ja.html (IPA による日本語訳 ) FIRST(Forum of Incident Response and Security Teams) http://www.first.org/ メンバー一覧 http://www.first.org/about/organization/teams/ 29

参考文献 ( 書籍 ) Kevin Mandia Chris Prosise インシデントレスポンス 訳 : エクストランス監修 : 坂井順行 新井悠翔泳社 ISBN4-7981-0295-4 30

JPCERT/CC へのアクセス Web http://www.jpcert.or.jp/ メーリングリスト http://www.jpcert.or.jp/announce.html インシデント報告 E-mail info@jpcert.or.jp PGP:BA F4 D9 FA B8 FB F0 73 57 EE 3C 2B 13 F0 48 B8 報告様式 http://www.jpcert.or.jp/form/( インシデント報告の際はお使いください ) インシデント報告専用ファックス 03-3518-2177( 電話ではインシデント報告を受け付けておりません ) 31

Thank you 32

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック