こんにちは、サービス企画部ディレクターのMIです。
今回は『サイバーインシデント緊急対応支援サービス』チームで実際に活躍する担当者AN君にインタビューという形で色々聞いていきたいと思います。
『サイバーインシデント緊急対応支援サービス』の具体的な内容については、以下の記事をご覧ください。
AN君のデータ
〇入社2年目
〇ITやセキュリティ経験:
前職ではソフトウェアエンジニアとしてセキュリティ製品を作っていました。もともとセキュリティへの興味があり独学で勉強していて、縁あってファイブドライブに入社しました。
〇趣味:
趣味は筋トレと読書です。ジムへは週4回ほど行っていて、体を追い込むことでストレス発散をしています。読書は私小説が好きです。中村文則さんや李 龍徳さんの小説は繰り返し読んでいます。
Q.1:AN君は「サイバーインシデント緊急対応支援サービス」チームの中でどのような役割を担っているの?
簡潔にいうと全てになります。具体的にはお客様へのヒアリング、HDDなどの証拠品の収集、証拠品から原因の究明に繋がるデータの解析と抽出、そして報告書の作成までを担当しています。
Q.2:チームは何人くらいいるの?また、どんな人がいるの?
6人体制のチームで案件に取り組んでいます。チームメンバーはそれぞれ得意分野が異なっていて、リバースエンジニアリングやペネトレーションテストが得意なメンバーがいるほか、セキュリティ業界での経験が20年以上のベテランの方もいます。
Q.3:最近手がけたインシデント調査にはどのようなものがある?
傾向からするとクレジットカード系の調査依頼が多いです。ただ、最近はランサムウェア被害が流行していることもあり、そういった依頼も増えている状況ですね。弊社はペネトレーションテストや脆弱性診断の技術に強みを持っているので、ハッキング被害に関する調査依頼が多いですね。
Q.4:調査過程で感じるサイバー攻撃の傾向は?
より業務的になっているのかなと思います。決められた順番で攻撃用プログラムを実行して、決められたバックドアを設置するといった行動が多数の案件で共通していて、組織的な業務としてハッキング行為を実施しているような印象です。
Q.5:調査をするにあたって気を付けていることは?
事実と推測を混ぜないということですかね。僕たちが提出する報告書は間接的に誰かの責任を追及することになると考えています。そのため、調査時に見つけた証拠が憶測で採用されていないか、チーム全体で証拠の妥当性についてレビューすることになっています。
Q.6:インシデントを遠ざけるために、普段から心がけておくと良いことは?
難しい質問です。セキュリティ意識が高い人でも、繁忙期のように余裕が無い時を狙うことで、インシデントに巻き込むことはそこまで難しくないんです。そのため個々人の心がけに頼るのではなく、EDRの導入や社内機器のセキュリティ設定の見直しをおこない、攻撃者に狙われた場合でも問題ないようなシステムを構築することが効果的な対策かなと思います。
Q.7:インシデントが発生(または発生可能性を感じた)段階から相談をいただく間に気を付けるべきことは?
ありがちな行為として、自分たちで解決しようと不審なファイルを削除してしまったり、データのバックアップを作成する前にサーバを初期化してしまうケースがあります。こうなると調査が困難となり、調べられる内容が少なくなったり、調査費用が高くなる原因となります。
基本的にデスクトップPCなどであればLANケーブルを抜いて、電源はついたままにしておく、サーバなどであればIP制限をかけて外部からアクセスできないようにしていただければ問題ありません。
Q.8:最後にひとこと
ファイブドライブでは攻撃者としての視点を持ったインシデント調査に強みがあります。ランサムウェア被害、標的型攻撃の被害、Webサーバからの情報漏洩など、インシデントが発生した際はとりあえず一度ご相談いただければと思います。
また、セキュリティが好きな技術者の方がいれば採用もしているので、ご連絡をお待ちしています。
ありがとうございました。
(編集後記)
本記事をお読みいただきありがとうございました。インタビュー内容や見解は必ずしも社を代表するものではありませんが、担当者が現場での経験から感じた意見としてそのまま掲載しています。よろしければご参考にしてください。
今後も各サービス担当者へのインタビューを掲載してまいります。「このようなことを聞きたい、知りたい」というご要望がございましたら「コメントを書く」でお知らせください。
また、インタビュー内にもございますが、ファイブドライブではサイバーセキュリティの視点で世の中を良くしようと志す仲間を募集しています。詳しくはファイブドライブのホームページでご確認ください。