インシデントハンドリングの研修に参加しました！

はじめに

メディアドゥでは昨年、情報セキュリティ統括部が発足しました。情報セキュリティ統括部では、セキュリティツールの導入・管理、社内規定の整備、リスクアセスメントの実施、DevSecOpsの推進などの通常業務に加え、パブリッククラウドや社内のセキュリティインシデントの対応を行っています。

今後もさまざまなインシデントの対応をしていくにあたって、必要となってくるベースの知識を身につけるため研修に参加してきました。

研修の概要

研修は事前学習も含めると、下記2つのステップで実施されました。

・事前学習（個人のPCで配布されたテキストを読みながら行う学習）
・集団演習（研修当日）

研修のレベル感

非エンジニアも多く、コマンドの打ち方を知らないという参加者も多数。知識のレベル差を事前学習で埋めた後に、集団演習に臨むという形式でした。

事前研修の内容

事前学習

集団演習で必要になってくる基本的な知識の習得を行います。 4、5時間ほどで全コースの履修が可能で、セキュリティに関わる以下のことを体系的に学びました。

・CSIRT
・インシデントハンドリング
・コマンドプロンプトを使ったログの見方
・サイバー攻撃の傾向

CSIRTとは何か

Computer Security Incident Response Teamの略称です。
セキュリティインシデントを把握・分析し、被害拡大を防ぎ、復旧と再発防止を迅速かつ正確に行うことを可能にする機能を有する体制・チームのことを指します。

主な活動内容は以下の通りです。

活動内容・インシデントハンドリング
・脆弱性対応
・普及啓発
・事象分析
・注意喚起etc…

インシデントハンドリングとは

インシデントの検知報告を受けてから、トリアージ、インシデントレスポンス、報告までの一連のフローのことです。この「インシデントハンドリング」を集団演習では学ぶことができました。

集団演習の内容

1チーム4人編成のグループで組織のネットワークを模した環境の元、疑似的なサイバー攻撃の対応を行いました。
インシデントハンドリングのフローに従い、グループワークとハンズオンを行う中でインシデントハンドリングの一連の流れを一日かけて学びます。

検知トリアージ体験

SQLインジェクションの脆弱性、マルウェアを検知しましたという報告、不審なメール・不正なアクセス・不審なサーバーからの通信…といった報告書が提出されたという想定で対応していきます。報告書の全てに目を通し、実施するべき対応の優先順位と対応策、報告先についてグループワークでディスカッションしていきました。

調査分析体験

調査分析体験では、証拠の保全としてメモリのダンプ取得を行いました。 Windows Serverを対象に、メモリのダンプツールを使うという体験でしたが、ダンプ後のエクスポートされたファイルの解析までは行いませんでした。

封じ込め根絶・復旧体験

アクセスログを分析し時系列にまとめ、攻撃元のIPアドレスを特定して、マルウェアに感染している端末を洗い出す作業をグループで行いました。封じ込め対策に関しては具体的な作業は行わず、対応策を検討するまでが研修のゴールでした。

事後の対応について

最後に事後の対応として、インシデント対応後の恒久対応についてグループでディスカッションをしました。ファイアウォールやCASB(Cloud Access Security Broker)といった製品を、どこに入れれば今回のインシデントは発生しなかったんだろうといったことを話し合い、また、社内での情報セキュリティの体制や教育はどうだったのかなど、技術的な観点にとどまらない根本についての議論も行いました。ディスカッションのなかでよく出てきた単語が、「ゼロトラスト」といった考え方になります。