こんにちは、サービス企画部ディレクターのＭＩです。

今回は『サイバーインシデント緊急対応支援サービス』チームで実際に活躍する担当者AN君にインタビューという形で色々聞いていきたいと思います。

『サイバーインシデント緊急対応支援サービス』の具体的な内容については、以下の記事をご覧ください。

 『サイバーインシデント緊急対応支援サービス～ご相談の流れ～』

AN君のデータ

〇入社２年目

〇ＩＴやセキュリティ経験：

前職ではソフトウェアエンジニアとしてセキュリティ製品を作っていました。もともとセキュリティへの興味があり独学で勉強していて、縁あってファイブドライブに入社しました。

〇趣味：

趣味は筋トレと読書です。ジムへは週4回ほど行っていて、体を追い込むことでストレス発散をしています。読書は私小説が好きです。中村文則さんや李 龍徳さんの小説は繰り返し読んでいます。

Q.１：AN君は「サイバーインシデント緊急対応支援サービス」チームの中でどのような役割を担っているの？

簡潔にいうと全てになります。具体的にはお客様へのヒアリング、HDDなどの証拠品の収集、証拠品から原因の究明に繋がるデータの解析と抽出、そして報告書の作成までを担当しています。

Q.２：チームは何人くらいいるの？また、どんな人がいるの？

6人体制のチームで案件に取り組んでいます。チームメンバーはそれぞれ得意分野が異なっていて、リバースエンジニアリングやペネトレーションテストが得意なメンバーがいるほか、セキュリティ業界での経験が20年以上のベテランの方もいます。

Q.３：最近手がけたインシデント調査にはどのようなものがある？

傾向からするとクレジットカード系の調査依頼が多いです。ただ、最近はランサムウェア被害が流行していることもあり、そういった依頼も増えている状況ですね。弊社はペネトレーションテストや脆弱性診断の技術に強みを持っているので、ハッキング被害に関する調査依頼が多いですね。

Q.４：調査過程で感じるサイバー攻撃の傾向は？

より業務的になっているのかなと思います。決められた順番で攻撃用プログラムを実行して、決められたバックドアを設置するといった行動が多数の案件で共通していて、組織的な業務としてハッキング行為を実施しているような印象です。

Q.５：調査をするにあたって気を付けていることは？

 事実と推測を混ぜないということですかね。僕たちが提出する報告書は間接的に誰かの責任を追及することになると考えています。そのため、調査時に見つけた証拠が憶測で採用されていないか、チーム全体で証拠の妥当性についてレビューすることになっています。

Q.６：インシデントを遠ざけるために、普段から心がけておくと良いことは？

 難しい質問です。セキュリティ意識が高い人でも、繁忙期のように余裕が無い時を狙うことで、インシデントに巻き込むことはそこまで難しくないんです。そのため個々人の心がけに頼るのではなく、EDRの導入や社内機器のセキュリティ設定の見直しをおこない、攻撃者に狙われた場合でも問題ないようなシステムを構築することが効果的な対策かなと思います。

Q.7：インシデントが発生（または発生可能性を感じた）段階から相談をいただく間に気を付けるべきことは？

 ありがちな行為として、自分たちで解決しようと不審なファイルを削除してしまったり、データのバックアップを作成する前にサーバを初期化してしまうケースがあります。こうなると調査が困難となり、調べられる内容が少なくなったり、調査費用が高くなる原因となります。
基本的にデスクトップPCなどであればLANケーブルを抜いて、電源はついたままにしておく、サーバなどであればIP制限をかけて外部からアクセスできないようにしていただければ問題ありません。

Q.８：最後にひとこと

ファイブドライブでは攻撃者としての視点を持ったインシデント調査に強みがあります。ランサムウェア被害、標的型攻撃の被害、Webサーバからの情報漏洩など、インシデントが発生した際はとりあえず一度ご相談いただければと思います。
また、セキュリティが好きな技術者の方がいれば採用もしているので、ご連絡をお待ちしています。

ありがとうございました。

（編集後記）

本記事をお読みいただきありがとうございました。インタビュー内容や見解は必ずしも社を代表するものではありませんが、担当者が現場での経験から感じた意見としてそのまま掲載しています。よろしければご参考にしてください。

今後も各サービス担当者へのインタビューを掲載してまいります。「このようなことを聞きたい、知りたい」というご要望がございましたら「コメントを書く」でお知らせください。

また、インタビュー内にもございますが、ファイブドライブではサイバーセキュリティの視点で世の中を良くしようと志す仲間を募集しています。詳しくはファイブドライブのホームページでご確認ください。

採用情報 | 株式会社ファイブドライブ

皆さんは脆弱性情報を日頃からチェックしていますでしょうか。

当ブログを読んでいただいている方であれば多少なりとも脆弱性やセキュリティ情報に興味をお持ちかと存じます。脆弱性対策の始まりは脆弱性とその対策方法の情報を得ることになりますが、様々なお客様の話をお聞きしているとどのように情報収集したらよいか分からないという話を聴くことが多く、しっかりと情報収集が実施できているところは少ないのが実情のように見受けられます。

そこで今回の記事では脆弱性情報の集め方、活かし方について説明していきます。セキュリティ技術者向けの情報収集に関しては他社様の記事を参考にしていただくとして本記事は「どのように情報収集したらよいか分からない」「情報をどのように判断したらよいか分からない」という方に向けた内容です。

• 情報収集するための準備（仕込み作業）
  • ①確認対象となるソフトウェア・機器のリストを作成する
  • ②定期的な確認の頻度を決定する
  • ③対策を実施する際の基準を設定する
  • ④おまけ：用語集を作成する
    • ●情報収集時の着目点

情報収集するための準備（仕込み作業）

まずはじめにですが、タイトルには「その先へ」と書いていますが、実は「その前に」準備をすることが実は重要です。
「脆弱性情報の収集」となると「どのサイトをチェックすればよいか」となりがちでチェックするサイトの一覧を作っておしまい、なんていうケースもあります。そうではなく、収集する範囲や情報項目、その後の対応方法を明確にして対策へと確実につながるようにする必要があります。

①確認対象となるソフトウェア・機器のリストを作成する

「敵を知り、己を知れば、百戦して殆（あや）うからず」

セキュリティ業界では擦り切れるくらい引用されている『孫子』の一説です。情報収集に関しては「敵を知り」と同じくらい、いやそれ以上に「己を知れば」が非常に重要です。今システムはどのような状態なのか、スタート地点がどこなのかを知るところから始めるべきです。

どのソフトウェアや機器の情報を集めるのか、情報提供ページの中のどの情報(危険度、CVSS基本値、対策バージョンetc)を集めるのかなどをリストにして明確にしましょう。対象はシステムで使われる各OS・パッケージをベースにして、NW機器、アプライアンスを含めて網羅的に含めたものにしましょう。これだけでも結構大変です。

• 収集対象のソフトウェア/機器をリストアップする(OS、アプリケーションパッケージ、NW機器、アプライアンスなど)
• 情報提供ページの中で集める情報項目をリストアップする(脆弱性の危険度、CVSS基本値、対策されたバージョン、参考情報など)

闇雲に脆弱性情報を集め始めると、あっという間に整理できない情報量が蓄積されてしまい「集めたはいいがどこから手をつければいいんだ…」と途方にくれるでしょう。そうならないためにも、システムで使用されるソフトウェア・機器のリストを整理し、
対象とする範囲を決定してから情報収集をはじめましょう。

②定期的な確認の頻度を決定する

脆弱性情報は常に新しいものが公開されています。ベンダーによって差はありますが定期的または不定期にパッチ情報・アップデート情報が出ており、それに追従して確認と対策実施を進めていく必要があります。そのため定期的に確認する頻度を決定しましょう。この界隈は情報のアップデートがつきものです。

オススメは運用の手間と対策頻度のバランスを考慮すると、月1回程度が妥当というところです。しかし、緊急の脆弱性が出た場合には臨機応変に対応することを忘れずに。

③対策を実施する際の基準を設定する

情報を集めた後は「どうするか」が必要になるので、次は判断基準を策定します。
脆弱性情報は多種多様で、影響を受ける条件や影響範囲、影響の内容も個別に異なるため、ただ集めただけでは「対策する/しない」をすぐに判断することは困難です。

ということで、脆弱性情報において以下の情報項目を軸として対策要否の判断を
行うことがよいでしょう。

• 管理しているシステムの中でどのサーバ/機器が影響を受けるか（重要システムが含まれるか）
• 危険度はどう評価されているか（リスクは高いか/低いか）
• CVSS基本値はどの程度か（数値は高いか/低いか）
• どのような影響があるのか（情報漏えいか/コマンド実行か）
• 対策することによる副作用はあるか（既存システムや機能への影響はあるか）

そして「対策をするぞ」と決まったら、さらにどの対応をとるかの判断も必要です。この段階ではセキュリティリスクの側面だけではなく、業務や運用への影響はもちろんのこと、かかるコストについても全部考慮した上でどの手段を取るかを決定します。対策つまりリスク対応は一般的に以下の4種類に分類されます。

• リスク軽減（低減）　⇒パッチ適用やアクセス制限の強化など
• リスク回避　⇒ソフトウェアの停止や機能無効化など
• リスク移転　⇒セキュリティ保険の加入、運用管理のアウトソースなど
• リスク保有　⇒対応策を取らず受容する

ちなみに「内部だからリスクは無い」という判断基準については、ひと昔ふた昔くらいまではそれでヨシ！とされてきましたが、現代ではシステムへの侵入手段や経路が大きく変化していて、内部ネットワークの重要システムもバンバン攻撃されていますので今の侵害事例と現状の対策を加味して考える必要があります。

④おまけ：用語集を作成する

実はご存じかと思いますが、脆弱性情報の説明はシステムとセキュリティの専門用語があふれており「ちょっと何言っているか分からない」ということが多々あります。冷静に一つ一つの用語を理解すれば把握できるのですが、いかんせん専門的な話なのでその「一つ一つの用語」自体も苦労することがあります。なので適切に理解するための補助として独自の「用語集」を作っておくと便利です。

ググってもいいのですが毎回検索しては煩雑になるので担当者自身が理解しやすいように自分用辞書があると脆弱性情報の解釈が驚くほど捗るでしょう。

ここまででやっと情報収集をするための準備ができました。
次は、準備段階で作られた土台に合うように脆弱性情報を集めていきます。

●情報収集時の着目点

• 複数のサイトで緊急扱いになっているか
• 脆弱性を攻撃するためのコード(方法)が公開され利用できる状態になっているか
• 脆弱性は複数の製品やサーバソフトウェアに影響するものか
• 対策方法は何ができるか（恒久的な対策、一時的な対策、代替手段による対策

と、思ったよりも記事が長くなってしまったので、今回はここまでとしてます。

次回は収集時の着目点の詳細と、参照すべき情報源について紹介していきたいと思います。

技術ブログ編集員