もはや待ったなし!危機管理の決め手「CSIRT」構築

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

もはや待ったなし!危機管理の決め手「CSIRT」構築

2016/03/15


 脅威対策をどれほど念入りに実施しても、予防にとどまっていては不十分。それが現在のリスク管理の常識だ。常に新手口で執拗に企業資産を狙う標的型攻撃などには万全な予防策が存在しない。また従業員にセキュリティポリシーの浸透をどれだけ徹底しても、完璧な遵守を期待するのは難しい。

 そこで今、リスク管理の観点から特に重視されているのが、予防はもとよりコトが起きた時点から収束するまで、そして再発防止対策までを司るコントロールセンター「CSIRT(Computer Security Incident Response Team/シーサート)」の構築だ。その意義と構築のための基礎知識を解説する。

CSIRT

年金機構事件の経緯:危機管理体制の不備が引き起こした大規模情報漏洩事件

 標的型攻撃によって必要な対応コストは約8億円とも言われる「日本年金機構個人情報漏洩事件」は、リスク管理の不備が被害を拡大したと言われるケースの代表例となった。まずこの事件の概要をおさらいしてみよう。厚生労働省や日本年金機構が2015年8月に報告書を公開しているので、それに基づいて経緯をまとめた。

図1 年金機構事件の経緯(時系列)
図1 年金機構事件の経緯(時系列)
日本年金機構における不正アクセスによる情報流出事案検証委員会「検証報告書」(2015年8月21日)をベースに筆者作成

 この図を見ると、必ずしも攻撃に対応していなかったわけではないことが分かる。特に政府のセキュリティを司るNISC(National Information Security Center/国家情報セキュリティセンター)によるネットワーク監視が外部C&Cサーバ(攻撃指令サーバ)との交信を検知し、速やかに通知していて、それを受けた対応はひとまず行われたかに見える。しかし、図中に「教訓ポイント」として示した部分に、不備がなかったとは言えない。

【教訓ポイント1】関連組織との情報連携不足

 攻撃は2015年4月から準備され、同年5月には3段階で攻撃が行われた。準備段階と思われる4月22日の攻撃は日本年金機構ではなく厚労省年金局を狙ったものだ。職員が開いた標的型攻撃メールの添付ファイルにより端末がウイルスに感染し、外部C&Cサーバとの通信が2時間行われた。その通信はNISCによるネットワーク監視が検知し、同局に通知。対応が行われ、被害は生じなかった。  

 5月8日、日本年金機構に同じドメインからの標的型攻撃メールが届く。1台の端末が感染、外部C&Cサーバと通信するインシデントが起きた(第1次攻撃)。これが日本年金機構の情報を狙う攻撃の直接的な発端になった。

 この場合もNISCからの通報で4時間後には通信を遮断できたが、もしその前に年金局から情報を得て攻撃者と思われるメール送信ドメインからのメール着信を拒否するような対応ができていたら、以降の出来事は起きなかったかもしれない。

【教訓ポイント2】大量標的型攻撃メールの着信を把握しながら対応が不十分

 5月18日には標的型攻撃メール(4種類)が8日と同じドメインから101通も日本年金機構に届いた(第2次攻撃)。それを不用意に開封したことにより、3台の端末が感染。しかし同じC&Cサーバとの通信を試みる攻撃だったため、既にブロック済みだったこともあり被害は生じなかった。

 この時点で、8日の攻撃とは違って外部に公開していないメールアドレスに着信している点、職員の姓名が漢字で記載されている点、送信元アドレスを受信拒否にするとまた別のアドレスから標的型メールが着信する執拗さがある点などから、本格的な大規模攻撃が開始されたと判断できる材料があった。ところが日本年金機構ではその危険性を見逃してしまった。19日時点でインターネットを全面遮断していれば、被害発生は防げた可能性がある。

【教訓ポイント3】危機感のなさが感染拡大、被害発生に結びついた

 5月20日には別の送信アドレスから5通の標的型メールが届く。そのうち1通を開封したことにより端末が感染、別のC&Cサーバとの通信が行われた。これには日本年金機構もNISCもすぐに気付けず、22日までの間に認証サーバへの侵入と端末感染拡大につながった。23日にはやっと感染した2拠点をインターネットから遮断したが、他拠点を含め全面的に遮断したのは28日のこと。警視庁から流出データを外部で発見した旨の通知を得た後のことだった。

 またこの時も業務への影響を考えるあまり、メール送受信専用の回線を残しておく対応をとった。後日、これも遮断することになるが対応は常に後手に回った。この第3次攻撃について厚労省が日本年金機構から事実を知らされたのが5月25日、CIO(最高情報責任者)補佐官への状況報告は27日、ひとまずのインターネット接続全面遮断は28日となった。本来は9日前にとれていたはずの対応である。

 そして6月1日には約125万件の個人情報漏洩が公表された。メール専用回線を含む全面遮断はその後の6月4日のことである。

 本格的攻撃の予兆は20日以前にもあり、ある程度の時間内で検知、対応も一応できてはいた。それなのに業務への影響を重視して思い切った対応が取れず、大規模漏洩につながった。緊急事態と認識することができず、インシデントを過小評価していたことと、対応体制の問題の両方が影響しているようだ。

 以下では、この事件を教訓に、企業ではいざという時に備えてどのような対応体制をとるべきなのかを考えてみる。


1

「組織内CSIRT」構築がこれからは必須に

■何が被害を拡大させたのか:システム設計と運用の問題点

 厚労省の報告書では日本年金機構のシステム設計と運用上の問題点が次のように指摘されている。

社会保険オンラインシステムと日本年金機構のLANシステム上の情報系システムが分離されているが、業務上の理由でLANシステム側の共有フォルダに個人情報を保管することが一定ルールで認められていた。

共有フォルダにはアクセス権の設定またはパスワード付与が行われていたが暗号化はされておらず、必要がなくなっても情報が削除されないまま残るなど、ポリシー外の運用が行われていた。

LANシステムに内在する脆弱性への対策が十分でなかった。標的型攻撃を想定したシステム設計、運用がなされていなかった。

メールやインターネットアクセスのログは取得していても監視が常時行われていなかった。

■何が被害を拡大させたのか:セキュリティ体制と運用の問題点

 これらの問題点とともに、セキュリティ体制の脆弱性も指摘された。

日本年金機構にCSIRTが設けられておらず、厚労省との緊急連絡体制も定められていなかった。

CISO(情報セキュリティ管理責任者)、CIO及び各部門の情報セキュリティ責任者を統括する情報セキュリティアドバイザーが任命されてはいたものの、セキュリティアドバイザーは職員1人のみで、しかも業務兼務で事実上職務から外れていた。

運用委託会社との間の契約ではインシデント発生時の緊急対応に関する具体的なサービス内容は合意されていなかった。

一般職員に対して標的型攻撃メールへの対応などのサイバー攻撃に関する教育が不十分で対応訓練も行われていなかった。注意喚起文書でも具体的な対応方法が記載されていなかった。

 また厚労省内では年金局が日本年金機構のLANシステムを監督し、同省全体の情報セキュリティ対策は政策統括官付情報政策担当参事官室(情参室)が担当していたが、いずれも責任部局であるという認識が薄く、積極的な指導監督が行われなかったという問題も指摘されている。同省にはCSIRTも構築されており、専門家であるCIO補佐官が5人配置されていたものの、いずれも非常勤であり、情参室職員や他のCIO補佐官と常時緊密に連携できる体制になく、実効性に欠けるものだった。

 これらの体制の不備や中途半端な運用が、図1に見るような後手の対応につながり、適切な緊急対応にならなかったことが報告書から如実に浮かび上がる。では、民間企業のセキュリティ体制はどうだろうか。今や標的型攻撃の対象となるのは政府機関や大企業ばかりではない。中堅中小企業であっても日本年金機構事件は対岸の火事ではない。上記の問題と同様の脆弱性が自社にないかを早急に点検し、まずはインシデントへの緊急対応が適切にとれる体制を作り上げることが急務といえる。

セキュリティ情報局にご登録頂いた方限定で「もはや待ったなし!危機管理の決め手「CSIRT」構築」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

CSIRT/もはや待ったなし!危機管理の決め手「CSIRT」構築」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「CSIRT」関連情報をランダムに表示しています。

CSIRT」関連の特集


アンチウイルス製品の導入だけでセキュリティ対策が万全な時代、再び来るか? セキュリティ対策が困難さを…



 2012年3月に、いわゆる不正アクセス禁止法が改正された(施行は2012年5月1日)。法律の条文お…



 前回は、モバイル系OSをターゲットにしたマルウェアの感染経路について説明した。連載の最終回に当たる…


「アンチウイルス」関連の製品

セキュリティ担当者なら誰もが悩む「3つの課題」の対処法とは? 専門家が議論 【シマンテック】 エフセキュア モバイル セキュリティ ビジネス 【ソフトバンク コマース&サービス】 エフセキュア プロテクション サービス ビジネス(PSB) 【ソフトバンク コマース&サービス】
アンチウイルス アンチウイルス アンチウイルス
インシデントにどう対処するか。社内の理解をどう得るべきか――。専門家のディスカッションを基に、セキュリティ担当者が抱く課題の解決策を探る。 1988年から30年近くITセキュリティソリューションを世界中に提供しているエフセキュアのモバイルセキュリティ。既に10年以上の実績を持つパイオニア的存在。 Windows PC、Mac、スマートフォンなど、幅広いデバイスおよびサーバプラットフォームのセキュリティを保護可能な多機能セキュリティソリューション。サンドボックス搭載。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008337


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ