Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Similar documents
Microsoft PowerPoint - IncidentResponce

組織内CSIRTの役割とその範囲

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

インシデントハンドリング業務報告書

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

ログを活用したActive Directoryに対する攻撃の検知と対策

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

日本企業のCSIRT実例紹介

スライド 0

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

<4D F736F F F696E74202D208A438A4F82CC835A834C A CE8DF482CC93AE8CFC82C982C282A282C4>

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座


Microsoft PowerPoint _revised.ppt

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

CSIRTガイド

最新のサイバーセキュリティの脅威

Zone Poisoning

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

PowerPoint プレゼンテーション

組織内CSIRT構築の実作業

Copyright

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

Microsoft Word - CSIRT-starter-kit.doc

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

金融工学ガイダンス

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

内容 JPCERT/CCとは 組織の概要 自己紹介世界の大学は今日本の大学 外部からの脅威 内なる脅威大学生とSNS 高まるソーシャルエンジニアリングのリスクインシデントレスポンス時代に即したセキュリティ教育まとめ Page 2

NTTannual2015.indd

~ 目次 ~ 内 容 頁 1 不正アクセス禁止法の概要 不正アクセス禁止法の概要 不正アクセス禁止法で禁止されている行為 ( 抜粋 ) 他人に成り済ます行為 セキュリティホールを突く行為 不正アクセスを準備する行為等 3 1-3

SHODANを悪用した攻撃に備えて-制御システム編-

suguru.PDF

情報セキュリティの現状と課題

目次 はじめに IoT 関連のセキュリティ事例セキュリティに関する対応を行う上での課題 IoTセキュリティ評価のためのチェックリストについてまとめ 2

教科書の指導要領.indb

JPCERT/CC 脆弱性関連情報取扱いガイドライン ver6.0

脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

なぜシーサートが必要なのか~ CSIRTの現状と構築のすすめ~

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

info-security_casestudy-youryo.indd

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

<4D F736F F F696E74202D F90C68EE390AB837D836C CC8CF897A689BB82F08E B782E94B454E47494E4582CC8FD089E

正誤表(FPT0417)

Microsoft PowerPoint - インターネットセキュリティ動向 Web

SOC Report

セキュリティ侵害のリスクの現状・動向

今企業が取るべきセキュリティ対策とは策

Data Security and Privacy Principles

Microsoft PowerPoint ラック 村上様.ppt

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

JSOCマネージド・セキュリティ・サービス(MSS) インシデントご報告・セキュリティ動向

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

untitled

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

metis ami サービス仕様書

- JPCERT/CC をご存知ですか? - JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター 日本国内

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

制御システムセキュリティアセスメントサービス

中小企業向け サイバーセキュリティ対策の極意

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

SiteLock操作マニュアル

JPCERTコーディネーションセンター製品開発者リスト登録規約

Microsoft Word - 活動概要4-6.doc

Proventia xls

プレゼンテーション

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

インターネット セキュリティの歴史と2018年の課題

< F2D5F95E28F958E9197BF2E6A7464>

Sample 5

SOC Report

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

障害管理テンプレート仕様書

目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

ライフサイクル管理 Systemwalker Centric Manager カタログ

agenda 最近のセキュリティリスクの傾向 標的型攻撃にみる攻撃の構造例 サプライチェーン攻撃で鉄壁の守りも突破 ビジネスメール詐欺の被害拡大 サイバーセキュリティ経営ガイドライン 攻撃の組織化とCSIRT CSIRTによるインシデント対応 1

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

Presentation Title

マイナBANK|コールセンターよくある質問集-従業員編-2016年3月

トレンドマイクロホワイトペーパー 標的型サイバー攻撃対策の次の一手 EDR * とは» 感染防止を目的としたエンドポイント対策は実施していても 未知の脅威をすべて防ぐこ とは不可能 今は侵入を前提とした対応策が求められている その役割を担うのが エン ドポイントにおける活動の記録と 従来型のエンドポ


Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

Microsoft PowerPoint - SWIMスライド_ ppt [互換モード]

PowerPoint プレゼンテーション

目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

スライド 1

Transcription:

インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp

インシデントレスポンスとは

Computer Security Incident ( 以降 インシデントと略 ) コンピュータセキュリティに関係する人為的事象で 意図的および偶発的なもの 弱点探索 リソースの不正使用 サービス運用妨害行為など 不正アクセス ( 行為 ) は狭義に規定された

インシデントの分類 米国 Sandia National Laboratories の報告書 A Common Language for Computer Security Incidents http://www.cert.org/research/taxonomy_988667.pdf

JPCERT/CC によるインシデントの分類報告者の視点で分類 サービス運用妨害 (DoS: Denial of Service) 分散型サービス運用妨害 (DDoS: Distributed Denial of Service) 詐称 ( 電子メール ) サービスの悪用 不正中継 侵入 無権限アクセス 弱点探索 ( スキャン プローブ ) 未遂 に終わったものを含む その他 (JPCERT/CC で扱えないものなど )

守るだけがセキュリティではない 人為的ミス ( パッチの適用忘れなど ) 未知 ( 公知になっていない ) の脆弱性の悪用 パッチの提供が間に合わない 100% 安全 はありえない いかに素早くインシデントに気づき 対応できるか が重要

インシデントレスポンスとは インシデントは起こる という前提に基づいた 事後の対応 未然に防ぐための 事前の対応 も含まれる

インシデントを発見する手順の明確化 ログの取得内容の事前の整理 ログの確認 不審なプロセス 通信の検知 改ざんの検知 ( 完全性の確認 ) 異常事態発生時の報告の仕組みなど 外部からの通知連絡で気が付くケースもある

それは本当にインシデント? 操作ミス 設定ミス? 連絡ミス? ident (113/tcp) のように こちらからのアクセスに伴う外部からの 正規の アクセス? まずは落ち着いて冷静に確認 判断

万が一の事態 ( インシデント ) が 起こった後の対応手順 技術メモ - コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt

手順 1 手順の確認 セキュリティポリシー 作業マニュアル 作業記録の作成 責任者 担当者への連絡 連絡体制の整備 インシデント対応の担当者への連絡

手順 2 事実の確認 本当にインシデントなのか? スナップショットの保存 後の調査 分析 ネットワーク接続やシステムの遮断もしくは停止 意思決定プロセスや判断基準の事前の整理 具体的な作業手順の明確化

手順 3 影響範囲の特定 漏洩した情報の機密性の度合い 踏み台として いつ どこを攻撃してしまったか? 渉外 関係サイトへの連絡 サイト内外への謝罪 情報提供 アクセス元などへの通知連絡 技術メモ - 関係サイトとの情報交換 http://www.jpcert.or.jp/ed/2002/ed020001.txt

手順 4 要因の特定 どの脆弱性が悪用されたのか? システムの復旧 バックアップメディアからの復旧 再発防止策の検討 実施

手順 5 監視体制の強化 作業結果の報告 作業の評価 ポリシー 運用体制 運用手順の見直し JPCERT/CC などへ報告

ポリシーの策定 あなたの組織にとって 何が一番大切なのですか? 何を守りたいのですか? 何を優先すべきなのですか? 想定されるダメージは? あなたの組織にとっての インシデント とは? OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation http://www.cert.org/octave/

参考文献 管理者のためのセキュリティ推進室 インシデントレスポンス入門 http://www.jpcert.or.jp/magazine/atmarkit/

インシデントレスポンスに必要なもの 専門のチーム (CSIRT) 普段から予行演習などを行なっておく 想定されるインシデントのそれぞれについて対応手順を整備 想定外のインシデントへの柔軟な対応 冷静さ 落ち着いて行動

CSIRT とは (Computer Security Incident Response Team)

CSIRT の歴史 1988 年 11 年 Morris worm 事件 米国カーネギーメロン大学の CERT/CC (Computer Emergency Response Team ) CERT という単語は CERT/CC の登録商標 現在では世界中に多数の組織 CERTCC-KR ( 韓国 ) AusCERT ( オーストラリア ) CERT-Renater ( フランス ) 組織によって形態 対応内容は様々 RFC 2350 参照

CSIRT の分類 http://www.cert.org/csirts/csirt_faq.html constituency Internal CSIRTs National CSIRTs national = s Analysis Centers Vendor Teams Incident Response Providers

xsp との連携 xsp の顧客対応窓口は最も ユーザ に近いところにいる CSIRT の 1 つである 踏み台 にされている可能性のあるユーザへの速やか且つ効率的な通知連絡 ( 可能であれば ) 必要に応じて対応のアドバイス 技術的 非技術的 ポインタを示すだけでもかなりの効果

JPCERT/CC によるインシデント対応の流れ インシデント報告 報告元サイト 他の CSIRT など 受領確認 転送内容の確認 ( 初回のみ ) 結果報告 JPCERT/CC 状況のご説明など WHOIS DB 技術連絡担当者宛 ご回答 ( 状況説明など ) より適切な担当者など ご転送 関連サイト ( アクセス元など )

ベンダとの連携 脆弱性情報についての問合せ窓口の設置 発見者 とベンダとの間のコーディネーション 対応内容 ( パッチ情報など ) の確認 JVN (JPCERT/CC Vendor Status Notes) http://jvn.doi.ics.keio.ac.jp/ 本運用に向けて準備中

付録

JPCERT/CC 発行の技術メモ http://www.jpcert.or.jp/ed/ コンピュータセキュリティインシデントに対する一般的な対応方法についての説明 サイトごとのポリシー策定などの参考に

JPCERT/CC へのアクセス E-mail: info@jpcert.or.jp Web: http://www.jpcert.or.jp/ 報告様式 : http://www.jpcert.or.jp/form/ メーリンク リスト : http://www.jpcert.or.jp/announce.html ファックス : 03-3518-2177 ( 変更されました ) 電話によるインシデント報告は受け付けておりません

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック