Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
社で一人CSIRTを作ってみた話(with AI)
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
nknskn
July 22, 2025
460
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
社で一人CSIRTを作ってみた話(with AI)
ssmjp, ssmonline #49-3
nknskn
July 22, 2025
More Decks by nknskn
See All by nknskn
脱・構築後の形骸化、実行力向上に必要な決めるべきこと
nknskn
0
100
インシデントレスポンス完全に理解した
nknskn
3
2.9k
The DFIR ReportのVolunteer Analyst公募にチャレンジして爆発四散した話
nknskn
1
450
動画勢YouTuber始めてみた
nknskn
0
91
AI「DeepSeek-R1」とオンプレADハッキングしてみた
nknskn
1
600
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
2k
KATA
mclloyd
PRO
35
15k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
490
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.3k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
For a Future-Friendly Web
brad_frost
183
10k
Done Done
chrislema
186
16k
Un-Boring Meetings
codingconduct
0
330
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
320
Transcript
社で一人CSIRTを作ってみた話 (with AI) ssmjp #49, 2025/07/22 @nknskn 1
自己紹介:中西 健太 • X:@nknskn • お仕事:ITセキュリティ関連 • 会社:外販でRed Team/ペネトレ/脆弱性診断/コンサル、社内でCSIRT構築やらパープル系のR&Dやら •
(New!!) 外向けに「パープルチームトレーニング」をリリース • 個人:(New!!) 副業始めました • 2025年7月: 【営業】 、【初受注】実績を解除 →「サーバのセキュリティチェック」のはずが「リプレイス&DevSecOpsをどうにかする」感じに なった件について(近日公開???) • YouTubeの更新ができなくてツラい… • 経験値: • ベンダ企業で攻撃系サービス(RT/ペネトレ/診断とか)を一通り、インシデントのハンドリング・調査やらをボチボチ • その他トレーニング講師やら「セキュリティ関連の設定整理 兼 システム移行前後のセキュリティ向上支援」やら • チームマネジメント関連:リソースコントロールやらメンバー育成やら他部署との連携やら • スキル:ざっくりOSCE3ぐらい 2
宣伝 • (New!!) 「パープルチームトレーニング」をリリース BarrierCrack、組織のインシデント対応能力を強化するパープルチームトレーニングサービスを提供開始 https://prtimes.jp/main/html/rd/p/000000008.000149241.html • ここでも別のネタ、なにをすべきなの?って部分の一般的な話を公開します 株式会社GRCS: 【8/5開催】物理的侵害からのサイバー攻撃に関する事例と対策を解説~物理セキュリティリスク評価の重要性と体制
強化のポイント~ https://www.grcs.co.jp/seminar/20250805 2.組織全体のセキュリティ体制を向上させるためのポイント • (New!!) 副業始めました ご相談はこちらまで →
[email protected]
※社(本業)として受けさせていただけると大変嬉しみ… 3
目次 • CSIRTとは - 一般論 • CSIRTとは - 自社(オレオレ)定義 •
心構え • オレオレCSIRTで用意すると決めたもの • AI氏にご助力いただいたこと • インシデント対応経験を踏まえて作ったもの • まとめ 4
CSIRTとは - 一般論 • シーサート (CSIRT: Computer Security Incident Response
Team) とは、コンピュータセキュリ ティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃 予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 日本シーサート協議会とは|日本シーサート協議会について|CSIRT - 日本シーサート協議会 • CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セ キュリティ問題を専門に扱う、インシデント対応チームです。 JPCERT コーディネーションセンター CSIRTマテリアル 5
CSIRTとは - 一般論 • シーサート (CSIRT: Computer Security Incident Response
Team) とは、コンピュータセキュリ ティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃 予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 日本シーサート協議会とは|日本シーサート協議会について|CSIRT - 日本シーサート協議会 • CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セ キュリティ問題を専門に扱う、インシデント対応チームです。 JPCERT コーディネーションセンター CSIRTマテリアル 表現が微妙に異なる… 6
CSIRTとは 7
CSIRTとは …CSIRTとは?? 8
組織内CSIRT JPCERT コーディネーションセンター CSIRTマテリアル - 組織内CSIRTの理解: https://www.jpcert.or.jp/csirt_material/build_phase.html 9
組織内CSIRT JPCERT コーディネーションセンター CSIRTマテリアル - 組織内CSIRTの理解: https://www.jpcert.or.jp/csirt_material/build_phase.html そんな定義で(うちは)大丈夫か? 10
CSIRTとは - 自社(オレオレ)定義 • 前提として一般的なCSIRTの定義・役割は持つ • 内部:窓口・技術的対応・意思決定・調整・教育と啓蒙 • 外部:対応組織との連絡調整・事例/動向調査・各種情報の収集と提供 •
一方で、ランサムウェアなどの災害系事案への対応、特に復旧系には不十分 な印象がある • インシデント発生時って大なり小なり”(誰かの)業務”はだいたい止まってるし… • しからば個人~組織レベルのBCPに関する定義・役割・対応も含めることにしよう 11
CSIRTとは - 自社(オレオレ)定義 • 前提として一般的なCSIRTの定義・役割は持つ • 内部:窓口・技術的対応・意思決定・調整・教育と啓蒙 • 外部:対応組織との連絡調整・事例/動向調査・各種情報の収集と提供 •
一方で、ランサムウェアなどの災害系事案への対応、特に復旧系には不 十分な印象がある • しからばBCPに関する定義・役割・対応も含めることにしよう つまり自社に限っては、CSIRTを ”インシデントに対応するチーム/組織” ではなく ”自社のビジネス・利益を守るチーム/組織” と広めに定義 ※”インシデント対応”(とそれに関わる業務)は「守るための手段」と定義 ※これがいわゆる「中小の情シス」ってやつなんだろうなぁ…(遠い目) 12
参考にした情報(一部) 団体 ドキュメント URL 参照目的 中小企業庁 中小企業庁BCP策定運用指針 – 中小企業白書 H28(2016)
第4章 稼ぐ力を支えるリスクマネジメント https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_ 1_4.html BCP策定 中小企業庁 3.2 BCPの準備、事前対策を検討する https://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_03a_2.html BCP策定 JNSA - CISO 支援WG CISO-PRACTSIEワークショップ用マテリアル Ver2 https://www.jnsa.org/result/act_ciso/2024/index.html CSIRT定義・構築 ISOG-J セキュリティ対応組織の教科書 第3.2版 (2024年10月) https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html CSIRT定義・構築 CSIRT協議会 CSIRT構築ガイド https://www.nca.gr.jp/activity/pub_doc/wtda.html CSIRT構築 CSIRT協議会 CSIRT スタータキット https://www.nca.gr.jp/activity/pub_doc/wtda.html CSIRT構築 JPCERT/CC CSIRTマテリアル https://www.jpcert.or.jp/csirt_material/ CSIRT構築 JPCERT/CC CSIRTマテリアル - 構想フェーズ https://www.jpcert.or.jp/csirt_material/concept_phase.html CSIRT定義 JPCERT/CC CSIRTマテリアル - 構築フェーズ https://www.jpcert.or.jp/csirt_material/build_phase.html CSIRT構築 JPCERT/CC CSIRTマテリアル - 運用フェーズ https://www.jpcert.or.jp/csirt_material/operation_phase.html CSIRT運用 NIST SP 800 Final (SP 800系のすべて) https://csrc.nist.gov/publications/search?keywords-lg=800-&sortBy-lg=Nu mber+DESC&viewMode-lg=brief&ipp-lg=ALL&status-lg=Final&series-lg=SP インシデント対応全般 予防~運用~対応 経済産業省 サイバーセキュリティ経営ガイドラインと支援ツール https://www.meti.go.jp/policy/netsecurity/mng_guide.html CSIRT定義・構築 経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)とその展開 https://www.meti.go.jp/policy/netsecurity/wg1/wg1.html CSIRT定義・運用 IPA 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/guide/sme/about.html CSIRT運用 金融庁 「事業等のリスク」の開示 https://www.fsa.go.jp/news/r2/singi/20210416/03.pdf BCP、運用見直し 金融庁 「事業等のリスク」の開示例 https://www.fsa.go.jp/news/r4/singi/20230324/06.pdf BCP、運用見直し 13
(一人で)CSIRTを作るときの心構え ―――「前向きな気持ち」 • 「少しづつ確実に定義・手順作成・検証をするぞい」 • さすがに全部を一気に作るのは無理ポヨ… ※とはいえ気分がノッているうちにイケるとこまで進めておきたい • 「手順の管理・更新は”利用サービスの仕様更新”等の外的タイミングを利用するぞい」 •
恒常的な管理・更新等のメンテも実際難しい… • 念のため3カ月~6カ月ぐらいの頻度で、クリティカルな部分の挙動は確認しておきたい • クリティカル:認証・インフラ系、例えば MS AD/Microsoft Entra ID/Google Workspace/AWS • 「直近の出来上がりが10%~20%でも、”いざというとき”に迷う箇所を減らす努力をするぞい」 • 迷う時間が減る・すぐに使えるものがある → つまり「復旧アクションまでの時間短縮」に繋がる 14
オレオレCSIRTで作ると決めたもの(一部) 分類 概要 ざっくり内容 ドキュメント CSIRT設置・運用規定 用語定義、CSIRTの設置・目的・構成・活動内容の定義 等 ドキュメント 対応体制規定
CSIRTの構成範囲の定義、役割・人員の定義 等 ドキュメント インシデント対応ポリシー インシデント対応の基本方針定義、インシデントの分類基準、重大度レベルの定義 等 ドキュメント インシデント報告・通報基準 報告区分(初報・社内第一報、外部報告 等)や報告先、報告内容の定義、重大度レベルに応じた報告タイミングや判断基準定義等 ドキュメント 内部_インシデント報告・通報先一覧 一般従業員の報告先、CSIRTの報告先 等の一覧および報告対象のインシデント例、合わせて報告内容のテンプレート ドキュメント 外部_インシデント報告・通報先一覧 警察、個人情報委員会、JPCERT/CC、IPA、監督省庁 等外部の連絡先一覧および連絡基準 ドキュメント 汎用インシデント対応手順書 保全手順、簡易調査項目、調査コマンドリスト、端末・ネットワークの隔離および監視環境の構築 等 ドキュメント ランサムウェア対応手順書 重要アカウント・サーバに関する調査項目および調査コマンドリスト 等 ドキュメント クラウド基盤調査手順書 クラウドサービスごとの保全手順、各種停止手順、簡易調査項目および調査コマンドリスト 等 ドキュメント AWS EC2サーバ調査手順書 AWS EC2の保全手順、簡易調査項目および調査コマンドリスト等 ドキュメント 復旧対応ポリシー 復旧対応の基本方針、復旧判断の基準、復旧優先度の定義、復旧後対応の定義 等 ドキュメント 復旧対応手順書 通常利用端末、各種サーバおよびネットワークの復旧(再構築)手順書 ドキュメント インシデント報告書テンプレート 発生日/検知・発覚日時/検知手段/対象システム・端末/影響範囲 等の項目および記入例 ツール/環境 Windows保全ツール FTK Imager, 法的対応を見据える場合は保全後即座に警察へ連絡 ツール/環境 ログ/保全データの簡易・クイック分析環境 Windows/SOF-ELK/Kali Linux Purple + インシデント対応調査用の各種ツール ツール/環境 ビジネス環境自動構築システム BCP用の業務復旧システム。Ansibleだとかを使ったりして、雰囲気だけなんかすごそう感あるやつ 15
個人的ポイント 分類 概要 ざっくり内容 ドキュメント CSIRT設置・運用規定 用語定義、CSIRTの設置・目的・構成・活動内容の定義 等 ドキュメント 対応体制規定
CSIRTの構成範囲の定義、役割・人員の定義 等 ドキュメント インシデント対応ポリシー インシデント対応の基本方針定義、インシデントの分類基準、重大度レベルの定義 等 ドキュメント インシデント報告・通報基準 報告区分(初報・社内第一報、外部報告 等)や報告先、報告内容の定義、重大度レベルに応じた報告タイミングや判断基準定義等 ドキュメント 内部_インシデント報告・通報先一覧 一般従業員の報告先、CSIRTの報告先 等の一覧および報告対象のインシデント例、合わせて報告内容のテンプレート ドキュメント 外部_インシデント報告・通報先一覧 警察、個人情報委員会、JPCERT/CC、IPA、監督省庁 等外部連絡先一覧および連絡基準 等 ドキュメント 汎用インシデント対応手順書 保全手順、簡易調査項目、調査コマンドリスト、端末・ネットワークの隔離および監視環境の構築 等 ドキュメント ランサムウェア対応手順書 重要アカウント・サーバに関する調査項目および調査コマンドリスト 等 ドキュメント クラウド基盤調査手順書 クラウドサービスごとの保全手順、各種停止手順、簡易調査項目および調査コマンドリスト 等 ドキュメント AWS EC2サーバ調査手順書 AWS EC2の保全手順、簡易調査項目および調査コマンドリスト等 ドキュメント 復旧対応ポリシー 復旧対応の基本方針、復旧判断の基準、復旧優先度の定義、復旧後対応の定義 等 ドキュメント 復旧対応手順書 通常利用端末、各種サーバおよびネットワークの復旧(再構築)手順書 ドキュメント インシデント報告書テンプレート 発生日/検知・発覚日時/検知手段/対象システム・端末/影響範囲 等の項目および記入例 ツール/環境 Windows保全ツール FTK Imager, 法的対応を見据える場合は保全後即座に警察へ連絡 ツール/環境 ログ/保全データの簡易・クイック分析環境 Windows/SOF-ELK/Kali Linux Purple + インシデント対応調査用の各種ツール ツール/環境 ビジネス環境自動構築システム BCP用の業務復旧システム。Ansibleだとかを使ったりして、雰囲気だけなんかすごそう感あるやつ 16 ビジネス観点 RTO, RPO, RLO も適当に設定 IR観点 IR観点 Xまで内部、Y~は JPCERT/CCに依頼、とか
(続)インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは? A. オレオレCSIRTで作ると決めたもの 17
(続)インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは? 18 A. オレオレCSIRTで作ると決めたもの
(続)インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは? A. 詳細調査(ベンダ側の専売特許部分)以外 19
じゃけん、AI氏と一緒に 頑張りましょうね~ 20
現時点でAI氏にご助力いただいたこと 1. 一般的なCSIRTに関する「参考文献」の第一次リストアップ • 自定義に沿うドキュメント、特にBCP関連は部分的に頼ったり自分で探したり 2. 必要と考えられるドキュメントのリストアップ 3. すべてのドキュメントのひな型作成(Markdownファイル) •
定義の文章案 → 「枠組み作成サンクス。もうちょい詳細に書いてくんない?」をそれぞれの ドキュメントに対して2回ぐらい指示 • 基本項目の枠 → 一度出力してもらったものに適宜追加 4. 調査手順ファイルの大枠とたたき台の作成(Markdownファイル) • 具体的な内容は頭に入っているが、たたき台を書くのもお任せしてしまう 21
AI氏にご助力いただいたこと - サンプル 22
インシデント対応経験を踏まえて 作ったもの/これから作るもの • 作った:資産・業務利用サービス・認証方法管理ファイル • 作り途中:汎用対応手順書の詳細(効率重視) • 目標:各対応の自動化ツール - ログの取得→解析→レポート化まで(いきますよ!AIさん!)
• フォーカス:”認証系”の「保全・隔離/停止・代替・調査・分析・復旧」部分 …中小企業規模ではやりすぎかも… ※ TI関連とかDetection Engineeringは規模的に「趣味の範疇」なので 入れていない(やらないとは言ってない) 23
インシデント対応経験を踏まえて作ったもの - サンプル • 資産・業務利用サービス・認証方法管理ファイル(たたき台として個人で作ったやつ) →もっと良い管理方法はあると思う。DBで管理するとか →中小(少数)規模なのでいったんこれで • 汎用対応手順書の詳細は 24
完成度10~20%! https://100-dream.jp/archives/11749 ま、ないよりはええやろ 25
まとめ CSIRTの定義・責任範囲・サービスは企業によってさまざま。自社に合う形で定義しよう • オレオレ定義は「自社のビジネス・利益を守るチーム/組織」なので、BCPも範囲内 • 中小は 兎にも角にも BCP これを無くして 明日の金策無し
字余り ~中小の一人CSIRT 心からの一句~ 最初が10%~20%でも、”存在していること”(作ってあること)が正義 • インシデント発生時に10%~20%部分をスキップできるのは、ビジネス復旧観点で十分に大きい • 時間短縮は結果として「サービス提供可能時間の長化」になるため、「企業/サービスへの信頼」に繋がる(と信じている) AI氏は大いに頼ろう • 定義を整理したのちの、ドキュメント作成やらさまざまなタスク(退屈なこと)はAIにやらせよう • プロンプティングだけ頑張って、あとは外部を”適切に”頼るのも、アリ寄りのアリ 26
ありがとう ございました 27