1. 情報セキュリティ
インシデント対応
システムインテグレーション事業部
草場 友光

2. 自己紹介
• 普段はASP.NET（C#）の保守プロジェクト
• 以前はサーバ構築・ネットワーク保守とか
• さらに以前はJava
• 情報処理安全確保支援士（登録番号001462）
tomo_kusaba

3. 本日の目的
• 情報セキュリティインシデントを起こしてしまった場合の対応
について考えていく
• 世間では頻繁に情報セキュリティインシデントの報道がなされ
ているが他人事と考えず我がこととして仮想体験してみる

4. 情報セキュリティインシデントとは？
インシデント例 影響
情報流失 損害賠償請求、信用低下
フィッシングサイト パスワードの流出
不正侵入 情報流失、踏み台として他のインシデントにつな
がる
マルウェア感染 データ破壊、情報流出
Web改ざん データ破壊、信用低下
DDos Webサーバの停止

5. インシデントハンドリング
• インシデント発生時の対応全般を指し、4つの業務フェイズで
構成される
1. 検知と連絡受付
2. トリアージ
3. インシデントレスポンス
4. 事後の報告と情報公開

6. 検知と連絡受付
• 組織内による検知
• 保守作業にインシデントの証拠がないか
• チェックする方法と異常の判定基準を定める
• 外部からの通報
• インシデントの問い合わせ窓口をつくり周知する
• 連絡方法を複数用意する（メール、電話、FAXなど）

7. トリアージ
• インシデントの重要度を判定し、作業対象と作業項目の優先度
を決定する
• トリアージの判定は3W1H、いつ、どこで、何が、どう発生し
たのかにより判定する。なぜ発生したかについてはインシデン
トレスポンス後に解明する

8. インシデントレスポンス
• インシデントに対する事象分析と対応計画を策定し、対応を実
施する
• 対応の必要がない場合
• 判定根拠をセキュリティポリシーと突き合わせ通報者に回答
• 対応の必要がある場合
• 対応計画を策定し実施し可能な範囲で通報者に回答

9. 報告と情報公開
• 事故の報告は必要に応じて適切な相手に行う
• プレスリリース
• Webなどでの情報公開
• 監督官庁への報告
情報を公開することで他の組織に対して注意を与えられるとともに他の
組織からの対応などについて支援を得られる場合がある

10. NIST SP800-61インシデント対応ガイド
準備
• 手順書の作成
• CSIRTの設置
• 検知・調査機
能の実装
• 訓練の実施
検知と分析
• 前兆や兆候の
検出
• 兆候の分析
• 優先順位付け
• 通知や報告
封じ込め根絶
• 状況の確認
• 被害拡大の防
止
• インシデント
原因の調査
• 復旧
事件後の対応
• セキュリティ
対応の改善
• インシデント
対応の評価と
改善
• 証拠の保全

11. 準備
ポリシーと手順書
経営層がインシデント対
応の必要性を意識する
インシデントレスポンス
の手順、チェックリスト
を作成
インシデントの検知、調
査を可能とするシステム
や運用の環境を作る
CSIRT
インシデントレスポンス
チームを構成する
外部組織との連携
組織方針に従った活動や
外部との連携が必須
公的機関・政府・協力会
社など関連組織との連携
を意識した準備をする
訓練
インシデントを体験して
おき、いざというとき対
応できるようにする。
突然のインシデントに対
応できるように準備を兼
ねた訓練を行う

12. 検知と分析
検知
• イベントを検知
• システムログ・通報などでインシデ
ントの兆候に気づく
分析
• 検知した内容を確認し本物のインシ
デントか誤検知か判断する
• どのようなインシデントであるか調
査
• 被害が出ていれば、次の封じ込め
フェイズに移行

13. 封じ込め、根絶、復旧
封じ込め
封じ込めをするためにどのような原因であ
るかを調査
システム、ネットワーク、PCを一時的に停
止
停止の際には停止の影響と、調査のための
証拠が消えないよう注意すること
影響先に対して、インシデントの発生を知
らせる
根絶
インシデントの原因を詳細に調査
被害状況の調査
インシデントの原因箇所の修復
所轄官庁、警察などに連絡、通報
復旧
修復を終えたシステムを再開
データの復旧
影響先への連絡
Webサイトなどにインシデントの顛末、復
旧の旨を掲載

14. 事件後の対応
教訓
インシデントから教訓を学ぶ
すべての関係者が参加して「反
省会」を開催する
新しい脅威にたいして進化し、
技術を向上させる
収集された事件データ
の利用
体系的なセキュリティの弱点や
脅威、事件の動向の変化把握
追加のコントロールの選択と実
施への応用
証拠の保管
事件の証拠の保管期間のポリ
シーを確立
すべての証拠を保管

15. グループワーク
Proxy L3スイッチ
DNS
Web
Mail
Domain controller
社内サーバ群
VLANで部署ごと分離

16. グループワーク
• ID管理
• サーバの管理者IDはすべて「administrator」でパスワードはサーバごと異なる
• 端末の管理者IDはすべて「administrator」でパスワードはすべて同じ
• ユーザID・パスワードはドメインコントローラで一元管理
• 大文字、小文字、数字、記号のうち３種類以上を混在するよう強制
• ユーザIDには管理者権限を付与
• ログ管理
• サーバ、端末はOSの標準機能で監査ログ、イベントログを取得。ローカルディ
スクに保存
• ファイアウォール、Proxy、Switchなどのネットワーク装置のログは本体に保存
• ログの保存期間は決めておらず、古いものは上書きされる
• ログの定期的な評価は行わず、障害やインシデント発生時に分析する

17. グループワーク
インシデント状況
① 宅配業者を装ったメールを受信した営業部社員Sが添付ファイルを開封しマルウェア感染した
② 感染したマルウェアが活動を開始
③ 利用しているプロバイダから、SAKURUG社内よりインターネットに向けて不審な通信が発信
されているとの通知が届いた
④ 不審通信の発信元のPC端末を特定できたので分析を行った
⑤ 発信元のPCを分析したところ「%AppData%XYZ」という不審なディレクトリ及びXYZ.exeと
いう不審なプログラムが実行された痕跡を発見
⑥ 全社のコンピュータを調査したところ4台で不審なプログラムやファイルが発見された

18. グループワーク
設問 ヒント
a 外部から通報を受けたときどのような対応をするか 通知してきたプロバイダに対す
る対応
b 不審通信の発信元端末の特定はどのように行うか システム構成を参考に何を対象
に調査しどのような情報を把握
するか
c 被害拡大を抑えるためにはどのような対応を行うか 技術的な対応と人的な対応によ
る被害拡大防止を考える
d 影響範囲の把握はどのように行うか 設問bとｃの検討の過程を参考
にする
e 業務継続のためどのような対応を行うか PCやネットが利用できない場合
の代替手段
f 再発防止策 標的型攻撃の対抗手段

19. グループワーク
• グループディスカッション（３０分）
• 発表（１０分）
• 講評（５分）