(写真:©iStock.com/waraphorn-aphai)
どれだけ守りを固めてもサイバー攻撃やサイバー犯罪はもはや防ぎ切れない。守りを突破された後にどう振る舞い、いかに早く復旧するか。こうした「インシデント対応」の力が現場に求められている。ランサムウエア攻撃など3つのシナリオに沿って、なすべきことをとことん解説する。
特集
インシデント対応「虎の巻」
3つのシナリオでとことん解説
出典:日経NETWORK、2023年5月号 pp.20-33
記事は執筆時の情報に基づいており、現在では異なる場合があります。
目次
-
サイバー攻撃で事業が止まる 喉元迫る3つの脅威
Part1 被害の実態
近年、サイバー空間における脅威(サイバー脅威)が高まっている。外部からの攻撃の手口が高度化しているうえ、内部の関係者による不正も目に付く。
-
肝は「5W1H」の情報収集 証拠集めも抜かりなく
Part2 初期対応の勘所
セキュリティーインシデント(事故)に対する注意喚起や初期対応、脆弱性を防ぐパッチの適用といった一連の活動をインシデントマネジメントという。そのうち初期対応、いわゆる「火消し」に当たる部分はインシデントハンドリングと呼ばれる。
-
まずは暗号化された範囲を確認 経営層の判断仰いで復旧開始
Part3 シナリオ1:ランサムウエア攻撃
ランサムウエア被害には3段階で対応する。1段階目は暗号化されている範囲の特定だ。インシデント対応の「解析」の作業に当たる。
-
ログ手掛かりに感染端末を特定 周辺端末もまとめて隔離
Part4 シナリオ2:標的型攻撃
標的型攻撃への対応では、インシデント対応の「解析」と「封じ込め」に相当する作業が特に重要だ。まずは不審な通信の発信元を特定する。
-
持ち出しルートをまずは解明 証拠はパソコンのログにも
Part5 シナリオ3:内部不正
内部不正の対応は3ステップで取り組む。(1)持ち出しルートの洗い出し、(2)ログの取得、(3)行動履歴の分析─である。疑わしい人物がデータを持ち出したのか裏を取るわけだ。
