実践CSIRTプレイブック

Pocket

株式会社ナレッジベースの杉山です。

情報セキュリティは推進していきたいところですが、なかなかすべてを一人で網羅することは難しいところです。
ありがたいことに、セキュリティ侵害での大きなトラブルの経験がありません。

今回は、「実践CSIRTプレイブック」を読みました。


組織内でセキュリティ・インシデントが発生した場合、このインシデントの調査・分析・問題の対応を実施するのが、コンピュータセキュリティシンイデント対応チーム(CSIRT)です。

システムコシステムのCSIRTのインシデントに対する調査などの対応方法について書かれています。

特定のソリューションを使用した分析ではなく、さまざまなログを分析して、ベーシックな手法で分析を進めていく方式で進めます。

そして分析に基づいて対応を実施していくのですが、このあたりについては特定の手法が存在しないため、書籍にし詳細に記載されていません。

発生したインシデントの分析や手順対応をまとめたものをプレイブックと呼ぶようです。

ある程度の規模があり、相当数の攻撃を受ける企業であれば、しっかりした体制を構築し、それなりのソリューションをいくつか導入して対応するのですが、中小零細では厳しいですよね。

弊社も勿論その通りです。
幸か不幸か、規模が小さいので、守るべき資産がわかりやすく、守りやすいので助かります。

それなりの規模で情報システムやネットワークを運用すると、多数の機器が外部と接続し、さまざまな情報が、それぞれの場所に格納されます。
たくさんの人々が情報にアクセスし、利用する状態を監視するためのログは莫大な量となり、過去にさかのぼって調査するためのハードウェア・ソフトウェア・そして人的なパワーは尋常ではないです。

そのため、ログを分析に必要なシステム時刻の同期や出力するログのフォーマットの統一、各ログの関連付け、そもそもログとして何が記録されているかの分析が重要になってきます。

基本的に必要な項目や注意事項など参考になる情報があるので、この辺りを参考に自社にあったログの収集と分析パターンをまとめてプレイブックを作成して育てていくのが、最終的な目標です。

簡単に書きましたが、その分析パターンは、さまざまなネットワーク・プロトコル、アプリケーションの動作などなど、セキュリティだけでではなく、情報技術の豊富な知識が必要になります。

ちなみに、以前ログの分析についての書籍を読みました。こちらも参考になると思います。

今後も、情報収集や知識の習得につとめていきたいと思います。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA