日本企業に対するインシデント解説 インシデントに対する準備の重要性

2．PwC CSETの事例から見る「準備」の必要性

PwC CSETはこれまで、多数のインシデント対応を支援してきました。そこでは、準備が不足しているために、適切かつ早急にインシデント対応ができなかった組織が多く見受けられました。以下に2つの事例を紹介します。

事例1：ランサムウェア感染のインシデント対応における準備不足

ランサムウェア感染のインシデントに見舞われた組織の事例です。図表3のように、攻撃者は、外部委託先の運用作業用踏み台端末に侵入し、複数台のサーバーにランサムウェアをばら撒きました。この組織は、感染の発覚から初動対応および証拠保全までを24時間以内に完了しました。しかし、偶然によるものか定かではありませんが、踏み台端末のハードディスクの障害により、オペレーティングシステム（OS）が起動できない事態に陥っており、ハードディスクの復旧作業を実施した結果、一部のファイルを復旧できたものの、OSのログファイルを含むそれ以外の情報を完全に元に戻すことはできませんでした。

復元できたファイルをフォレンジック調査すると、攻撃者が外部委託先のネットワークを介して踏み台端末に侵入した可能性があることが推測できました。一方、障害が発生した踏み台端末のログが失われたこと、さらに今回は該当踏み台端末と接続ネットワーク機器のログが保存されていなかったことにより、攻撃者がどのような手口をもって、どのような経路で侵入したかについての解明には至りませんでした。

この事例では、インシデント対応の準備の段階で、情報の整備が不足していたと分析することができます。仮にサーバーのログとネットワーク機器のログを外部の専用ログサーバーに保存していたとすれば、踏み台端末のログが喪失しても、インシデントに対する詳細な調査を実施することができたと想定されるためです。

事例2：APT攻撃のインシデント対応における準備不足

侵害範囲や深刻度を判別しやすいランサムウェアによるインシデントと比べて、より複雑なAPT（Advanced persistent threat）攻撃では、組織におけるインシデント対応の成熟度をさまざまな側面から評価することが可能です。PwC CSETが携わったインシデント対応のうち、海外拠点においてAPT攻撃を受けた組織の例を紹介します。この組織では図表4のように、マルウェア感染を検知してから封じ込め対策を実施し、インシデントを収束させるまで12日間を要しました。システム復旧についても難航し、ビジネスを再開するまでにはさらなる時間を要してしまいました。

上記の事例2から、課題および改善策を、前述した3要素に照らし合わせて考えてみましょう。図表5に、インシデント対応の事前準備段階における課題整理しました。

この事例で特筆すべき点として、システムの復旧手順をはじめ、「ポリシー・プロセス」が整備されていなかったことが大きな課題として挙げられます）。これが原因でシステム復旧に時間がかかり、ビジネス再開も遅延してしまいました。「リソース」に関しては、インシデントに対応するための人的リソースや有事の際のコミュニケーションポリシー、インシデント対応をリモートで行うためのツールの整備が不足していたことが考えられます。さらに「情報」の観点から分析すると、速やかに調査を開始できたものの、サーバー構成情報やネットワーク構成情報などのシステム環境関連の資料が事前に十分に整理されていなかったために、攻撃の全容解明やシステム復旧対策の妥当性の確認に時間を要したと考えることができます。

上記の3要素の課題を改善するために実施すべき事前準備として、図表6に考えられる改善案をまとめました。「ポリシー・プロセス」においては、導入しているシステムの特徴を踏まえた、実現性のあるインシデント対応手順の整備が効果的です。「リソース」では、インシデント発生を想定した演習を定期的に実施し、リソースの可用性と有効性を検証するのが有効です。最後に「情報」ですが、IT環境に対する全面的なアセスメントを実施し、ネットワークおよびサーバーの構成管理情報を詳細に整理することが重要です。これらの準備をすることにより、事例2のようなAPT攻撃に対しても高いサイバーレジリエンスを発揮し、システム復旧に要する時間を短縮することが可能となります。

本稿では、攻撃を受け、侵入されることを想定したインシデント対応における準備の重要性について説明しました。次回は、インシデント発生時に取るべき対応について紹介します。