インシデントを検知する

インシデント対応の準備に続いて、 実践の部分を見ていきましょう。 これらは、 NIST のインシデント対応モデルで 「検知と分析」「封じ込めと根絶と復旧」 「インシデント後の活動」に 分類されています。 検知と分析は、 システムを常時モニタリングして サイバー攻撃の証拠を探すプロセスで、 「SOC（ソック）」と呼ばれる セキュリティオペレーションセンターの アナリストが、マルウェアの痕跡や、 社外から不正にアクセスしようとする 動きに目を光らせています。 ほとんどが、24 時間リアルタイムで アラートが表示されるモニター画面を 見つめる仕事です。 アラートの内容以外にも、 ファイルスキャンを実施して、 社内システムに入り込んでいる マルウェアがないかを調べたり、 社外に送信される信号の中に 遠隔操作サーバーへの通信がないかを 調べたりします。 さらに、マルウェアや侵入者が １つの社内システムから 別の社内システムへと移動したり、 ネットワークの深部へと進んだりする 動きにも注意を払います。 サイバー攻撃を監視する オペレーションセンターの仕事は、 ログやアラートの膨大な画面を 見続けながら、インシデントの可能性がある 記録を深掘りして調査することを 繰り返すため、大きな負荷を伴います。 サーバー停止のように、 インシデントであることが 明らかな場合でも、 それが単なる不具合なのかセキュリティの 問題なのかを見きわめるのは困難です。 そして、セキュリティの 問題であることがわかっても、 その種類や範囲、程度を把握するのは 容易ではありません。 サイバー攻撃を特定するためには、 インテリジェンスに加えて直感も重要です。 侵入検知システムなどから来るアラートに かなりの誤検出が含まれていることも、 この仕事を難しくしています。 最初から誤検出を想定して警戒を 弱め過ぎると攻撃を防ぎきれませんし、 全部に反応しても緊張が 長続きしないからです。 セキュリティインシデントであることが 確認できると、今度は インシデントレスポンダーが 分析を行います。 曖昧で断片的な情報から、 何が起きているのかを突き止めます。 ここでは、分析のスキルが きわめて重要です。 インシデントを示唆する情報は、 大きく２つに分けられます。 １つは、これから起こる インシデントの前兆となる情報です。 ポートスキャンは攻撃の前兆です。 多くの実行犯は、本格的な攻撃を始める前に 偵察を行うからです。 これと同様に、既知の脆弱性をついた エクスプロイトも攻撃の前兆である 可能性が考えられます。 もう１つは、すでに起こったインシデントや 現在起こっているインシデントの 指標となる情報です。 平時とは異なる IP アドレス宛てに 送信されたビーコンは、 マルウェアが遠隔操作サーバーに 接続しようとしている兆候かもしれません。 オペレーションセンターに集まる アラートの多くは誤検出なので、 対応を発動する前に確認することが 重要です。 誤検出と本物のインシデントを 見分けるには、平時の状態を よく理解しておくことが特に重要です。 ナレッジベースを作って、 以前に検出された同様の事例があるかを すぐに参照できるようにしておくと 有益です。 時間を追ってデータを見ることが 必要なインシデントもあります。 密かに進行する APT の活動も検知できるよう、 近年の分析ツールにはビッグデータ技術を 活用するものも出てきています。 DPI（ディーピーアイ）、 すなわち ディープパケットインスペクションの 手法で、前兆や指標となる データの周辺で起こっている アクティビティを詳細に 調べることもあります。 パケットキャプチャーのツールには、 ホストベースの Wireshark や、 ネットワークベースの FireEye、 NetWitness などがあります。 指標から実際にインシデントの存在が 確認できたら、 優先度を正しく判断することが、 その後の対応作業に大きく関わります。 インシデントは、発生した順に 対応すべきものではありません。 組織が受ける影響の重大さに基づいて 優先度を判断し、これに従って 対応しなければなりません。