インシデントマネジメントを実践し、対応時の「あのとき、こうしていれば…」を解消

2020年9月15日にWebセミナー「マイナビニュース スペシャルセミナー 事件・事項発生の対策 スムーズな初動に必要な環境と考え方」が開催された。日本アイ・ビー・エム株式会社(以下、IBM)のセッションでは、セキュリティー事業本部 セキュリティー・アナリストの冨田 貴之氏が登壇。「あのとき、こうしていれば……から学ぶインシデントマネジメント」と題した内容をレポートする。

実際のインシデント対応事例から、多岐にわたる反省点が見えてくる

「インシデント対応の最中や、または⼀連の対応が終わったあとで『あのとき、こうしていればよかった……』と感じたことはないでしょうか？」

冨田氏は、視聴者にこう問いかけて講演を開始した。事故対応後に振り返って、適切な対処を行っていればインシデントを未然に防げた、または、もっと効率的に対応できたと感じるケースは少なくない。そういった反省点や後悔は、インシデント対応を行う担当者に共通する意識ではないかと冨田氏は語る。今回の講演では、IBMが実際に対応した事例を踏まえ、反省・後悔を生み出したポイントについて確認し、その後悔をなくすためのアプローチとなる「インシデントマネジメント」について解説された。

セッションの冒頭では、IBMが実際に対応した事例の図解を提示。防御視点、攻撃視点からのインシデントを時系列順に確認した。

「ここで紹介している事例は、SOC（Security Operation Center）がADに対する不審なアクセスを検知したことから始まり、SOCからCSIRT（Computer Security Incident Response Team）へと連絡。CSIRTが対応するなかでIBMにインシデント対応を支援してほしいという依頼がきたという流れになります。結論から言えば、お客様とIBMでインシデント対応を進め、インシデントの全容解明と進行していた攻撃の封じ込め、復旧までの対応を完了。結果として問題は起こりませんでした」

とはいえ、これだけではインシデント対応として十分といえないと冨田氏は話す。ADに対する不審なアクセスを検知する前の段階でアンチマルウェアがアラートを出しており、攻撃ツールを検知していたことに注目する。この際はSOCが対応して攻撃ツールの削除を確認したため、CSIRTに連絡することなく対応が終了したという。さらに遡ると、VPN機器の認証失敗ログが大量発生していたという記録もあったが、VPN機器を管理しているIT運用チームは気づいておらず、対応は行っていなかったという。

こうした事象を攻撃者の視点で見直すと、どこからか入手した休眠アカウントを使ってVPN機器へパスワードリスト攻撃を行い、その後に攻撃ツールの実行を試み、さらにドメイン管理者でADにアクセスといった、たび重なる攻撃活動の全容が明らかになると冨田氏。IBMでは、本事例のインシデント対応が完了したあとで、対応を振り返って全容を解明し、再発防止策の提言や今後の対応についての助言を行った。

冨田氏は、本事例における反省点として、技術面での「検知・分析能力の不足」と管理面での「体制・プロセスの不備」を挙げる。前者は、VPNアカウントの認証失敗を検知できなかったことや、攻撃ツールの影響を正しく分析できていなかったこと。後者は休眠アカウントが削除されていなかったことや、SOCからCSIRTへの連携が不⼗分だったことが問題だという。

「今回の事例はあくまで一例であり、インシデントの内容によって反省点はさまざまです。IBMが支援したインシデント対応のなかでは、これ以外にも多数の『こうしていればよかった』という声が聞こえてきています」

こうした多岐にわたる反省点は「技術面」「管理面」における「発生前」「対応中」のどこかに分類できるケースが多いという。インシデントの発生前から対応後まで、技術面のみならず管理面も含めてインシデント全体を管理する「インシデントマネジメント」の考え方が必要になると語った。

インシデントマネジメントに必要な「経験」と「総合力」を支援するサービスとは

インシデントマネジメントを効率的に行うためには、豊富なインシデント対応の「経験」と、インシデント発生前から対応後までを一貫してカバーする「総合力」が重要になるという。セッションの後半では、インシデント対応全体をサポートする、IBMのインシデントマネジメント支援サービス「X-Force IRIS Vision Retainer」についての概要が解説された。

インシデント対応サービスの多くは、原因調査のための技術的な解析が中心となるが、X-Force IRIS Vision RetainerではIBMの持つ「経験」を活かし、管理面での対応から経営陣がとるべき判断までを含めた支援を提供する。冨田氏は、経営陣に向けた判断支援の例として公表や報告のサポートを挙げた。

「インシデントが発生した場合、経営陣にはまず『公表をするのかしないのか』、『どこまでを公表するのか』といった判断が求められます。IBMでは、インシデントの全容をすべて公表するというスタンスではなく、まずはインシデントの全容を経営陣に認識してもらい、公表の目的を明確化したうえで、適切に判断できるような支援を行っています」

X-Force IRIS Vision Retainerは、インシデントの各フェーズにおいて適切なサービスを提供することで、インシデント対応の「総合力」を高めてくれる。準備フェーズ（事前作業）からインシデント対応フェーズ（調査・トリアージ・対応・終了判定）、復旧フェーズ（事後作業）それぞれに必要な支援を行い「あのときこうしていれば…」という反省や後悔が起きることを回避。また、復旧フェーズで完了するのではなく、復旧後は準備フェーズに戻り、平時支援という形でインシデント対応支援を継続していくという。

さらにX-Force IRIS Vision Retainerでは、インシデントマネジメントを⽀援するための豊富なメニューを用意。基本メニューに加え、平時支援用のオプションメニューとしてアセスメント・レビュー、エクササイズ（訓練）、ダークWeb調査・ATAなどのサービスを提供している。

講演では、基本メニューのなかから「キックオフ・ミーティング／定例会」を紹介。定例会で報告された些細な問題からインシデントを発見し、迅速な対応が行えた事例から、その効果が解説された。また、オプションメニューからは「テーブルトップ・エクササイズ」をピックアップ。IBMの経験をもとに策定された想定シナリオを用いて、ワークショップ形式のインシデント対応訓練が行えることを確認できた。

X-Force IRIS Vision Retainerは、IBMの対応チームにインシデント対応を丸投げするというサービスではなく、顧客と連携しながら対応を進めていくものだと冨田氏。「お客様自身が当事者意識を持ってインシデント対応に携わることで、インシデントマネジメントに重要な経験や総合力を付けることができます」と力を込める。講演では、インシデント対応の各プロセスを、IBM主導・IBMと顧客主導・顧客主導＋IBM支援・顧客主導で役割分担していることが提示され、顧客とチームを組んでインシデントに対応していくというIBMのスタンスが強調された。

「お客様とIBMの双方がインシデントを“自分事”として捉えることがポイントだと思っています。IBMとしては、ビジネス・作業委託としてサービスを提供しているわけではなく、お客様がやるべき対応はお客様が行うことを意識した支援を行っています」(冨田氏)
冨田氏は、X-Force IRIS Vision Retainerのその他の特徴として、海外拠点や国内グループ会社に対してのセキュリティーインシデント対応や、インシデント発生時の迅速な対応などを語り、セッションを締めくくった。

技術面での支援に特化したサービスが多いなか、管理面においても強力なサポートを行うIBMのX-Force IRIS Vision Retainerは、インシデントマネジメントの実現を目指す企業にとって見逃せない選択肢となるはずだ。

「テーブルトップ・エクササイズ」メニューの要望が多く寄せられる

講演の最後では「情報セキュリティー事故対応アワード」審査員の株式会社インターネットイニシアティブ セキュリティー情報統括室長 根岸 征史 氏とpiyokango 氏が参加しディスカッションが実施された。

まず、piyokango 氏は「ユーザーは具体的にどんなメニューを多く使用している傾向がありますか」と尋ねる。その質問に対して、冨田氏は「基本メニューが最も多いですが、オプションメニューですとテーブルトップ・エクササイズが多いです。インシデントの発生前にやっておきたいお客様もいれば、インシデントの対応が一通り終わった後に『全然できなかった』と感じたお客様から、振り返りたいというご要望をいただくことがあります」と回答した。

続いて、根岸 氏は次のように質問した。 「ビジネスメール詐欺のような、海外拠点から侵入された被害事例が日本でもたくさん報告されています。対象がグローバルに拡がる場合の対応はどうしていますか」。

冨田氏は「IBMの現地法人と連携して、現地法人の人間が現地へ調査をしに行ったり、日本語・英語・中国語が伝わる場所であれば日本IBMで対応が可能となりますため、日本のメンバーが現地へ行って対応させていただいています」とグローバルな対応について話した。

[PR]提供：日本アイ・ビー・エム