Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
情報セキュリティ
インシデント対応
システムインテグレーション事業部
草場 友光
自己紹介
• 普段はASP.NET(C#)の保守プロジェクト
• 以前はサーバ構築・ネットワーク保守とか
• さらに以前はJava
• 情報処理安全確保支援士(登録番号001462)
tomo_kusaba
本日の目的
• 情報セキュリティインシデントを起こしてしまった場合の対応
について考えていく
• 世間では頻繁に情報セキュリティインシデントの報道がなされ
ているが他人事と考えず我がこととして仮想体験してみる
本題の前に 情報セキュリティ10大脅威 2020
昨年順位 個人 順位 組織 昨年順位
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位...
情報セキュリティインシデントとは?
インシデント例 影響
情報流失 損害賠償請求、信用低下
フィッシングサイト パスワードの流出
不正侵入 情報流失、踏み台として他のインシデントにつな
がる
マルウェア感染 データ破壊、情報流出
Web改ざん ...
インシデントハンドリング
• インシデント発生時の対応全般を指し、4つの業務フェイズで
構成される(JPCERT)
1. 検知と連絡受付
2. トリアージ
3. インシデントレスポンス
4. 事後の報告と情報公開
https://www.jpc...
検知と連絡受付
• 組織内による検知
• 保守作業にインシデントの証拠がないか
• チェックする方法と異常の判定基準を定める
• 外部からの通報
• インシデントの問い合わせ窓口をつくり周知する
• 連絡方法を複数用意する(メール、電話、FAX...
トリアージ
• インシデントの重要度を判定し、作業対象と作業項目の優先度
を決定する
• トリアージの判定は3W1H、いつ、どこで、何が、どう発生し
たのかにより判定する。なぜ発生したかについてはインシデン
トレスポンス後に解明する
インシデントレスポンス
• インシデントに対する事象分析と対応計画を策定し、対応を実
施する
• 対応の必要がない場合
• 判定根拠をセキュリティポリシーと突き合わせ通報者に回答
• 対応の必要がある場合
• 対応計画を策定し実施し可能な範囲で...
報告と情報公開
• 事故の報告は必要に応じて適切な相手に行う
• プレスリリース
• Webなどでの情報公開
• 監督官庁への報告
情報を公開することで他の組織に対して注意を与えられるとともに他の
組織からの対応などについて支援を得られる場合が...
NIST SP800-61インシデント対応ガイド
準備
手順書の作成
CSIRTの設置
検知・調査機能の
実装
訓練の実施
検知と分析
前兆や兆候の検出
兆候の分析
優先順位付け
通知や報告
封じ込め根絶
状況の確認
被害拡大の防止
インシデン...
準備
ポリシーと手順書
経営層がインシデント対
応の必要性を意識する
インシデントレスポンス
の手順、チェックリスト
を作成
インシデントの検知、調
査を可能とするシステム
や運用の環境を作る
CSIRT
インシデントレスポンス
チームを構成す...
検知と分析
検知
• イベントを検知
• システムログ・通報などでインシデ
ントの兆候に気づく
分析
• 検知した内容を確認し本物のインシ
デントか誤検知か判断する
• どのようなインシデントであるか調
査
• 被害が出ていれば、次の封じ込め
...
封じ込め、根絶、復旧
封じ込め
封じ込めをするためにどのような原因であ
るかを調査
システム、ネットワーク、PCを一時的に停
止
停止の際には停止の影響と、調査のための
証拠が消えないよう注意すること
影響先に対して、インシデントの発生を知
ら...
事件後の対応
教訓
インシデントから教訓を学ぶ
すべての関係者が参加して「反
省会」を開催する
新しい脅威にたいして進化し、
技術を向上させる
収集された事件データ
の利用
体系的なセキュリティの弱点や
脅威、事件の動向の変化把握
追加のコント...
グループワーク
Proxy L3スイッチ
DNS
Web
Mail
Domain controller
社内サーバ群
VLANで部署ごと分離
グループワーク
• ID管理
• サーバの管理者IDはすべて「administrator」でパスワードはサーバごと異なる
• 端末の管理者IDはすべて「administrator」でパスワードはすべて同じ
• ユーザID・パスワードはドメインコ...
グループワーク
インシデント状況
① 宅配業者を装ったメールを受信した営業部社員Sが添付ファイルを開封しマルウェア感染した
② 感染したマルウェアが活動を開始
③ 利用しているプロバイダから、SAKURUG社内よりインターネットに向けて不審な通...
グループワーク
設問 ヒント
a 外部から通報を受けたときどのような対応をするか 通知してきたプロバイダに対する対
応
b 不審通信の発信元端末の特定はどのように行うか システム構成を参考に何を対象に調
査しどのような情報を把握するか
c 被害...
グループワーク
• グループディスカッション(30分)
• 発表(10分)
• 講評(5分)
グループワーク 回答例
設問 回答例
a 外部から通報を受けたときどのような対応をするか プロバイダに対する検知内容の確認
今後のコンタクト方法の確認
b 不審通信の発信元端末の特定はどのように行うか ファイアウォール、Proxy、L3などのロ...
Upcoming SlideShare
Loading in …5
×

of

20200214 the seminar of information security with sample answer Slide 1 20200214 the seminar of information security with sample answer Slide 2 20200214 the seminar of information security with sample answer Slide 3 20200214 the seminar of information security with sample answer Slide 4 20200214 the seminar of information security with sample answer Slide 5 20200214 the seminar of information security with sample answer Slide 6 20200214 the seminar of information security with sample answer Slide 7 20200214 the seminar of information security with sample answer Slide 8 20200214 the seminar of information security with sample answer Slide 9 20200214 the seminar of information security with sample answer Slide 10 20200214 the seminar of information security with sample answer Slide 11 20200214 the seminar of information security with sample answer Slide 12 20200214 the seminar of information security with sample answer Slide 13 20200214 the seminar of information security with sample answer Slide 14 20200214 the seminar of information security with sample answer Slide 15 20200214 the seminar of information security with sample answer Slide 16 20200214 the seminar of information security with sample answer Slide 17 20200214 the seminar of information security with sample answer Slide 18 20200214 the seminar of information security with sample answer Slide 19 20200214 the seminar of information security with sample answer Slide 20 20200214 the seminar of information security with sample answer Slide 21
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0 Likes

Share

Download to read offline

20200214 the seminar of information security with sample answer

Download to read offline

This is the document for the seminar at SAKURUG.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

20200214 the seminar of information security with sample answer

  1. 1. 情報セキュリティ インシデント対応 システムインテグレーション事業部 草場 友光
  2. 2. 自己紹介 • 普段はASP.NET(C#)の保守プロジェクト • 以前はサーバ構築・ネットワーク保守とか • さらに以前はJava • 情報処理安全確保支援士(登録番号001462) tomo_kusaba
  3. 3. 本日の目的 • 情報セキュリティインシデントを起こしてしまった場合の対応 について考えていく • 世間では頻繁に情報セキュリティインシデントの報道がなされ ているが他人事と考えず我がこととして仮想体験してみる
  4. 4. 本題の前に 情報セキュリティ10大脅威 2020 昨年順位 個人 順位 組織 昨年順位 NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位 2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位 1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位 7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位 4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位 3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位 5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位 8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位 6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位 12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位 https://www.ipa.go.jp/security/vuln/10threats2020.html
  5. 5. 情報セキュリティインシデントとは? インシデント例 影響 情報流失 損害賠償請求、信用低下 フィッシングサイト パスワードの流出 不正侵入 情報流失、踏み台として他のインシデントにつな がる マルウェア感染 データ破壊、情報流出 Web改ざん データ破壊、信用低下 DDos Webサーバの停止
  6. 6. インシデントハンドリング • インシデント発生時の対応全般を指し、4つの業務フェイズで 構成される(JPCERT) 1. 検知と連絡受付 2. トリアージ 3. インシデントレスポンス 4. 事後の報告と情報公開 https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20151126.pdf
  7. 7. 検知と連絡受付 • 組織内による検知 • 保守作業にインシデントの証拠がないか • チェックする方法と異常の判定基準を定める • 外部からの通報 • インシデントの問い合わせ窓口をつくり周知する • 連絡方法を複数用意する(メール、電話、FAXなど) • WHOISサービスから検索された「技術連絡担当者」や「登録担当者」 に問い合わせがあることも多い
  8. 8. トリアージ • インシデントの重要度を判定し、作業対象と作業項目の優先度 を決定する • トリアージの判定は3W1H、いつ、どこで、何が、どう発生し たのかにより判定する。なぜ発生したかについてはインシデン トレスポンス後に解明する
  9. 9. インシデントレスポンス • インシデントに対する事象分析と対応計画を策定し、対応を実 施する • 対応の必要がない場合 • 判定根拠をセキュリティポリシーと突き合わせ通報者に回答 • 対応の必要がある場合 • 対応計画を策定し実施し可能な範囲で通報者に回答
  10. 10. 報告と情報公開 • 事故の報告は必要に応じて適切な相手に行う • プレスリリース • Webなどでの情報公開 • 監督官庁への報告 情報を公開することで他の組織に対して注意を与えられるとともに他の 組織からの対応などについて支援を得られる場合がある
  11. 11. NIST SP800-61インシデント対応ガイド 準備 手順書の作成 CSIRTの設置 検知・調査機能の 実装 訓練の実施 検知と分析 前兆や兆候の検出 兆候の分析 優先順位付け 通知や報告 封じ込め根絶 状況の確認 被害拡大の防止 インシデント原因 の調査 復旧 事件後の対応 セキュリティ対応 の改善 インシデント対応 の評価と改善 証拠の保全 https://www.ipa.go.jp/files/000025341.pdf
  12. 12. 準備 ポリシーと手順書 経営層がインシデント対 応の必要性を意識する インシデントレスポンス の手順、チェックリスト を作成 インシデントの検知、調 査を可能とするシステム や運用の環境を作る CSIRT インシデントレスポンス チームを構成する 外部組織との連携 組織方針に従った活動や 外部との連携が必須 公的機関・政府・協力会 社など関連組織との連携 を意識した準備をする 訓練 インシデントを体験して おき、いざというとき対 応できるようにする。 突然のインシデントに対 応できるように準備を兼 ねた訓練を行う
  13. 13. 検知と分析 検知 • イベントを検知 • システムログ・通報などでインシデ ントの兆候に気づく 分析 • 検知した内容を確認し本物のインシ デントか誤検知か判断する • どのようなインシデントであるか調 査 • 被害が出ていれば、次の封じ込め フェイズに移行
  14. 14. 封じ込め、根絶、復旧 封じ込め 封じ込めをするためにどのような原因であ るかを調査 システム、ネットワーク、PCを一時的に停 止 停止の際には停止の影響と、調査のための 証拠が消えないよう注意すること 影響先に対して、インシデントの発生を知 らせる 根絶 インシデントの原因を詳細に調査 被害状況の調査 インシデントの原因箇所の修復 所轄官庁、警察などに連絡、通報 復旧 修復を終えたシステムを再開 データの復旧 影響先への連絡 Webサイトなどにインシデントの顛末、復 旧の旨を掲載
  15. 15. 事件後の対応 教訓 インシデントから教訓を学ぶ すべての関係者が参加して「反 省会」を開催する 新しい脅威にたいして進化し、 技術を向上させる 収集された事件データ の利用 体系的なセキュリティの弱点や 脅威、事件の動向の変化把握 追加のコントロールの選択と実 施への応用 証拠の保管 事件の証拠の保管期間のポリ シーを確立 すべての証拠を保管
  16. 16. グループワーク Proxy L3スイッチ DNS Web Mail Domain controller 社内サーバ群 VLANで部署ごと分離
  17. 17. グループワーク • ID管理 • サーバの管理者IDはすべて「administrator」でパスワードはサーバごと異なる • 端末の管理者IDはすべて「administrator」でパスワードはすべて同じ • ユーザID・パスワードはドメインコントローラで一元管理 • 大文字、小文字、数字、記号のうち3種類以上を混在するよう強制 • ユーザIDには管理者権限を付与 • ログ管理 • サーバ、端末はOSの標準機能で監査ログ、イベントログを取得。ローカルディ スクに保存 • ファイアウォール、Proxy、Switchなどのネットワーク装置のログは本体に保存 • ログの保存期間は決めておらず、古いものは上書きされる • ログの定期的な評価は行わず、障害やインシデント発生時に分析する
  18. 18. グループワーク インシデント状況 ① 宅配業者を装ったメールを受信した営業部社員Sが添付ファイルを開封しマルウェア感染した ② 感染したマルウェアが活動を開始 ③ 利用しているプロバイダから、SAKURUG社内よりインターネットに向けて不審な通信が発信 されているとの通知が届いた ④ 不審通信の発信元のPC端末を特定できたので分析を行った ⑤ 発信元のPCを分析したところ「%AppData%XYZ」という不審なディレクトリ及びXYZ.exeと いう不審なプログラムが実行された痕跡を発見 ⑥ 全社のコンピュータを調査したところ4台で不審なプログラムやファイルが発見された
  19. 19. グループワーク 設問 ヒント a 外部から通報を受けたときどのような対応をするか 通知してきたプロバイダに対する対 応 b 不審通信の発信元端末の特定はどのように行うか システム構成を参考に何を対象に調 査しどのような情報を把握するか c 被害拡大を抑えるためにはどのような対応を行うか 技術的な対応と人的な対応による被 害拡大防止を考える d 業務継続のためどのような対応を行うか PCやネットが利用できない場合の代 替手段 e 再発防止策としてどのような対応があるか 標的型攻撃や一般的なウィルスに対 する対抗策
  20. 20. グループワーク • グループディスカッション(30分) • 発表(10分) • 講評(5分)
  21. 21. グループワーク 回答例 設問 回答例 a 外部から通報を受けたときどのような対応をするか プロバイダに対する検知内容の確認 今後のコンタクト方法の確認 b 不審通信の発信元端末の特定はどのように行うか ファイアウォール、Proxy、L3などのログ分析による発信元IPアドレスの特定 特定したIPアドレスを使用していた端末の特定 発信元端末のイベントログの分析による裏付け c 被害拡大を抑えるためにはどのような対応を行うか LANケーブルの抜線など社内LANからの隔離 管理者権限のパスワード変更 偽装メールへの社内への注意喚起、対応方法の周知 ファイアウォールによる不正サーバへのアクセス停止 d 業務継続のためどのような対応を行うか 感染PCへの代替機の置き換え インターネットを遮断した場合の外部とのコミュニケーション手段の確保(電話、FAXなど) e 再発防止策 パッチの確実な適用 ウィルス対策ソフトの定義ファイルを常に最新になどの基本的な対策を確実に実行する 不用意に添付ファイルやURLを開かない 続きは標的型攻撃ビデオで

This is the document for the seminar at SAKURUG.

Views

Total views

75

On Slideshare

0

From embeds

0

Number of embeds

16

Actions

Downloads

2

Shares

0

Comments

0

Likes

0

×