インシデントレスポンス完全に理解した

Transcript

1. ssmjp #49, 2025/07/22 @nknskn インシデントレスポンス ”完全に理解した”

2. 自己紹介：中西 健太 • X：@nknskn • お仕事：ITセキュリティ関連 • 会社：外販でRed Team/ペネトレ/脆弱性診断/コンサル、社内でCSIRT構築やらパープル系のR&Dやら •

   (New!!) 外向けに「パープルチームトレーニング」をリリース • 個人：(New!!) 副業始めました • 2025年7月: 【営業】 、【初受注】実績を解除 →「サーバのセキュリティチェック」のはずが「リプレイス＆DevSecOpsをどうにかする」感じに なった件について(近日公開???) • YouTubeの更新ができなくてツラい… • 経験値： • ベンダ企業で攻撃系サービス（RT/ペネトレ/診断とか）を一通り、インシデントのハンドリング・調査やらをボチボチ • その他トレーニング講師やら「セキュリティ関連の設定整理 兼 システム移行前後のセキュリティ向上支援」やら • チームマネジメント関連：リソースコントロールやらメンバー育成やら他部署との連携やら • スキル：ざっくりOSCE3ぐらい 2

3. 宣伝 • (New!!) 「パープルチームトレーニング」をリリース BarrierCrack、組織のインシデント対応能力を強化するパープルチームトレーニングサービスを提供開始 https://prtimes.jp/main/html/rd/p/000000008.000149241.html • ここでも別のネタ、なにをすべきなの？って部分の一般的な話を公開します 株式会社GRCS: 【8/5開催】物理的侵害からのサイバー攻撃に関する事例と対策を解説～物理セキュリティリスク評価の

   重要性と体制強化のポイント～ https://www.grcs.co.jp/seminar/20250805 ２．組織全体のセキュリティ体制を向上させるためのポイント • (New!!) 副業始めました ご相談はこちらまで → [email protected] ※社(本業)として受けさせていただけると大変嬉しみ… 3

4. 自己紹介：中西 健太 • X：@nknskn • お仕事：ITセキュリティ関連 • 会社：外販でRed Team/ペネトレ/脆弱性診断/コンサル、社内でCSIRT構築やらパープル系のR&Dやら •

   (New!!) 外向けに「パープルチームトレーニング」をリリース • 個人：(New!!) フリーランス始めました • 2025年6月: 【営業】 、【初受注】実績を解除 →「サーバのセキュリティチェック」のはずが「リプレイス＆DevSecOpsをどうにかする」ことに なった件について(近日公開???) • YouTubeの更新ができなくてツラい… • 経験値： • ベンダ企業で攻撃系サービス（ペネトレ/診断とか）を一通り、インシデントのハンドリング・調査やらをボチボチ • その他トレーニング講師やら「セキュリティ関連の設定整理 兼 システム移行前後のセキュリティ向上支援」やら • チームマネジメント関連：リソースコントロールやらメンバー育成やら他部署との連携やら • スキル：ざっくりOSCE3ぐらい 今回は組織CSIRTの人間として 4

5. 5 目次 汎用的な話 ベンダ側の話 インシデントレスポンス大変なんだが。 楽にならんのか？（切実）

6. ”完全に理解した”といえば 6 い つ も の（自戒）

7. 7 インシデントレスポンス してますか？（白目） さてみなさま

8. インシデントレスポンスとは 8 インシデントレスポンスとはインシデントに対応する活動全般のことですが、一 言でインシデントレスポンスといっても、実際の活動としては、インシデントの発 見から、必要な情報やデータの収集、緊急対応の実施、影響範囲や原因 の特定、関係各所との調整、復旧対応などにいたるまで、その活動は多岐 にわたります。 https://www.jpcert.or.jp/about/06_1.html

9. インシデントレスポンス やっぱつれぇわ… 9 インシデントレスポンスとはインシデントに対応する活動全般のことですが、一 言でインシデントレスポンスといっても、実際の活動としては、インシデントの発 見から、必要な情報やデータの収集、緊急対応の実施、影響範囲や原因 の特定、関係各所との調整、復旧対応などにいたるまで、その活動は多岐 にわたります。 https://www.jpcert.or.jp/about/06_1.html うわっ…私のタスク、多杉内…？

   https://moto-neta.com/net/nensyu-hikusugi/

10. ちゃんと言えたじゃねえか 10 じゃあ、楽にしよう ちくわ大明神 まずはインシデントの「汎用的な対応の理解」から始めようか https://moto-neta.com/net/chikuwa-daimyojin/

11. “完全に理解した”ので 汎用的な話を少し

12. 今回お話しする”インシデントレスポンス”の対応4つと肝 12 1.発生事象の把握 3. 業務復旧 2. 被害範囲の最小化 4. 再発防止 プロセス改善

13. インシデントレスポンスと肝の初動対応 - 1 13 1.発生事象の把握 3. 業務復旧 2. 被害範囲の最小化 4.

    再発防止 プロセス改善 1. 事実確認 : 4W1H（Why入れない） • Whoaar: 誰が（人/端末/サービス 等、主語） • Whenra: いつ • Wherea: どこで(物理的な場所、SaaS 等) • Whataa: なにを（認知したこと） • Howaar: どのように 2. 影響判断 : 3W1H（When, Whyを除く） 3. インシデント対応の要否 • 要: インシデント対応開始 • 否: そもそもの対応要否判断 4. 優先度・レベル判定 • 高～低 • 緊急～不急 5. “被害範囲の最小化”に移行 6. （必要に応じて）詳細分析

14. インシデントレスポンスと肝の初動対応 - 2 14 1.発生事象の把握 3. 業務復旧 2. 被害範囲の最小化 4.

    再発防止 プロセス改善 1. 確認済み部分の隔離 • アカウント • 端末 • サービス • ネットワーク 2. 保全（理想的には法対応を見据える） • ディスク・メモリのイメージング • ログ収集（NW、サービス、セキュリティ製品 等々） 3. 影響範囲調査 4. “1. 発生事象の把握”の”6.詳細分析”に移行 5. 侵入口の封鎖 • 該当メールの削除、VPNでのブロック等のアクセス制御 • マルウェア/バックドアの削除 等 6. 詳細分析結果に基づく追加の隔離・保全 7. 3～6の繰り返し（隔離・保全・封じ込め・根絶）

15. インシデントレスポンスと初動 15 1.発生事象の把握 3. 業務復旧 2. 被害範囲の最小化 4. 再発防止 プロセス改善

    1. 監視体制の構築 2. ネットワークの復旧 • ネットワークレベルで不審な活動がないか 3. 保全済み端末・システムの復旧 • 端末・システムレベルで不審な活動がないか 4. サービス（HTTPなどのレベル）の復旧 • サービスレベルでの不審な活動がないか 5. 運用の復旧 • 運用チームレイヤの再始動 6. 業務の復旧 • 一般ユーザを含む通常利用の再始動

16. インシデントレスポンスと初動 16 1.発生事象の把握 3. 業務復旧 2. 被害範囲の最小化 4. 再発防止 プロセス改善

    1. 原因に対する再発防止策の検討・実装 • 資産・脆弱性管理 • パッチ等の最新情報の取得スピード向上 • パッチの適用サイクル向上 • 従業員教育 • 予防 • 事後対処 2. インシデント対応プロセスの見直し • プロセス再定義 • 精度・速度向上のための施策（自動化など） 3. インシデント対応準備の見直し • ドキュメント整備 • 機器・ツール整備 • バックアップサイクルの見直し • 発見（検知）能力の向上

17. 何度見ても、やっぱつれぇわ（一人CSIRT） 17 うわっ…私のタスク、多すぎ！！（確信）

18. ちったあ楽にしたいんだが、なにをどうしましょうかね？ 18 イマココ 役割分担 • 外部ベンダに投げられること・投げられないことを把握して分担 • 事前に準備できる or 自社でやった方が手っ取り早いことはやっておく

    最適化 • 仕組み作り・手順の策定・それ系プラットフォームに全乗っかり • いったん手作業ベースで抜け漏れ防止＆効率化 自動化 • AIさんにご助力を乞う • SIEM/XDRとかでの検知・発見時のアラートコントロール & 隔離までの対応迅速化 • +Ansibleやらなんやらで代替システムのデプロイ（BCP発動）までを自動化 細かく言えばもっとあるけど、ざっくり「こんな感じで進めたい」なイメージ

19. 外部ベンダは、果たしてどのタスクで頼れるのか？ 19 役割分担 • 外部ベンダに投げられること・投げられないことを把握して分担 • 事前に準備できる or 自社でやった方が手っ取り早いことはやっておく 最適化

    • 仕組み作り・手順の策定・それ系プラットフォームに全乗っかり • いったん手作業ベースで抜け漏れ防止＆効率化 自動化 • AIさんにご助力を乞う • SIEM/XDRとかでの検知・発見時のアラートコントロール & 隔離までの対応迅速化 • +Ansibleやらなんやらで代替システムのデプロイ（BCP発動）までを自動化 細かく言えばもっとあるけど、ざっくり「こんな感じで進めたい」なイメージ

20. IRベンダ視点

21. IRベンダが提供可能な要素 21 1. 発生事象の把握 3. 業務復旧 ※ 2. 被害範囲の 最小化

    ※ 4. 再発防止 プロセス改善 ※ ※ : 提案にとどまるケースがある部分

22. IRベンダが巻き取れるインシデントレスポンスの範囲 22 1. 発生事象の把握 3. 業務復旧 被害範囲の最小化 再発防止 プロセス改善 1.

    事実確認 : 4W1H（Why入れない） • Who : 誰が（人/端末/サービス 等、主語） • When : いつ • Where : どこで(物理的な場所、SaaS 等) • What : なにを（認知したこと） • Howa : どのように 2. 影響判断 : 3W1H（When, Whyは除く） 3. インシデント対応の要否 • 要: インシデント対応開始 • 否: そもそもの対応要否判断 4. 優先度・レベル判定 • 高～低 • 緊急～不急 5. “被害範囲の最小化”に移行 6. （必要に応じて）詳細分析

23. IRベンダが巻き取れるインシデントレスポンスの範囲 23 発生事象の把握 業務復旧 2. 被害範囲の最小化 4. 再発防止 プロセス改善 1.

    確認済み部分の隔離 • アカウント • 端末 • ネットワーク • サービス 2. 保全（理想的には法対応を見据える） • ディスク・メモリのイメージング • ログ（NW、サービス、セキュリティ製品等各種）収集 3. 影響範囲調査 4. “発生事象の把握”の”6.詳細分析”に移行 5. 侵入口の封鎖 • 該当メールの削除、VPNでのブロック等のアクセス制御 • マルウェア/バックドアの削除 等 6. 詳細分析結果に基づく追加の隔離・保全 7. 3～6の繰り返し（隔離・保全・封じ込め・根絶） ※ベンダは、色付き部分に関して提案をしてくれる（人もいる）

24. IRベンダが巻き取れるインシデントレスポンスの範囲 24 1. 発生事象の把握 3. 業務復旧 被害範囲の最小化 再発防止 プロセス改善 1.

    監視体制の構築 2. ネットワークの復旧 • ネットワークレベルで不審な活動がないか 3. 保全済み端末・システムの復旧 • 端末・システムレベルで不審な活動がないか 4. サービス（HTTPなどのレベル）の復旧 • サービスレベルでの不審な活動がないか 5. 運用の復旧 • 運用チームレイヤの再始動 6. 業務の復旧 • 一般ユーザを含む通常利用の再始動 ※ベンダは、色付き部分に関して提案をしてくれる（人もいる）

25. IRベンダが巻き取れるインシデントレスポンスの範囲 25 発生事象の把握 業務復旧 2. 被害範囲の最小化 4. 再発防止 プロセス改善 1.

    原因に対する再発防止策の検討・実装 • 資産・脆弱性管理 • パッチ等の最新情報の取得スピード向上 • パッチの適用サイクル向上 • 従業員教育 • 予防 • 事後対処 2. インシデント対応プロセスの見直し • プロセス再定義 • 精度・速度向上のための施策（自動化など） 3. インシデント対応準備の見直し • ドキュメント整備 • 機器・ツール整備 • バックアップサイクルの見直し • 発見（検知）能力の向上 ※ベンダは、色付き部分に関して提案をしてくれる（人もいる）

26. 余談： 外販IRサービスの動き 例 （もうちょっとkwsk） ※あくまで「経験を踏まえ、一般化した話」です

27. 余談：外販インシデントレスポンダーの動きざっくり 27 入電・スコーピング • 状況整理・必要な対応の整理・今後のアクション整理 分析・解析・報告 • 情報の収集・Next Actionの提示 インシデントハンドリングサポート

    • 影響範囲/リスク判断のフォロー・調査対象選定の提 言・対応策の提言/フォロー

28. 余談：入電・スコーピング 28 状況整理 インシデントの概要 顧客側での対応内容 要対応項目整理 “顧客側での対応内容”に 追加して「やるべきこと」 会社として対応可能なこと 金額・スピード感

    等の話 アクション整理 顧客側 ベンダ側

29. 余談：分析・解析・報告 29 情報の収集 • 影響範囲の特定 ➢被害発生の有無 ➢被害規模の推定 • 侵害経路の特定 ➢Who

    (Threat Actor, Account(s)) ➢Where (From, To) ➢How (Vuln, Legitimate) • 根本原因の特定 ➢人 ➢アカウント管理 (権限設定・運用)の不備 ➢システム管理（脆弱性・アクセス制御）の不備 • 封じ込め・根絶に利用可能な情報（IOCs）の 収集 Next Actionの提示 • 情報の収集結果に基づく 1.封じ込め・根絶策の提案 2.業務復旧策の提言 • 今後に向けた情報提供 ➢システム・プロセス等に対する改善策の提言 ➢関連インシデントの情報提供

30. 余談：ログ調査・簡易/詳細ディスク分析 • 商用ツール、GitHub上の公開 Collector & Parser 等 • Eric Zimmerman’s

    Tools • Python + Jupyter + Pandas/Polars/…、その他ライブラリ データ収集＆整形 • “対応目的”に即した調査 事実確認 • 確認できた”事実”が、目的に沿った結論に繋がるか否か 分析・評価 30

31. 余談：インシデントハンドリングサポート ※要は”火事場限定Virtual CISO” 31 影響範囲判断 現判断の是非 追加/削減 調査対象選定 範囲 深さ

    対応策の提言・ フォロー 現対応の 必要十分性 追加対応の 要否 リスク判断 ビジネス影響

32. 余談：あった方がいいなーと思ったスキルセット 32 • データサイエンススキル • データの取り扱い・統計・分析/解釈 • コーディング/スクリプティング能力 • ドキュメンテーション能力

    調査・分析 • ビジネス（経営～現場）の知見 • 基本的なコンサル能力 ハンドリング サポート

33. （ユーザー側的には）こまけえことはいいんだよ!! 33

34. 34 本題に戻りまして

35. 結局「外部ベンダに投げられること・投げられないこと」 is 何？ 投げられること: 技術対応・作業的タスク • 調査・分析 • “技術的”リスク判断 •

    （ベンダ次第で）隔離”作業”、復旧”作業” 投げられないこと: “判断・決定”などの「責任」 • “ビジネス的”リスク判断 • ビジネス影響・隔離範囲・復旧の判断および決定 35

36. 「責任」と“適切な判断・決定”を押さえるためにすべきこと 責任組織・責任者の設定 • CSIRTの構築 • 一人… 適切な判断・決定 • ビジネス＆インフラシステム＆周辺知識への深い理解 •

    シビアな判断の（反復）訓練 36

37. 37 事前に準備できる or 自社でやった方が手っ取り早いことは？

38. To be continued... →3本目：社で一人（with AI）CSIRTを作ってみた話 38

39. インシデントレスポンスを”完全に理解した” まとめ 39 セキュリティ体制構築・改善の進め方の話 • 内外での役割分担は明確にしておきましょう • 内部でやることを決めたら、あとは最適化＆自動化（AI氏の出番） 外部に投げられること＆投げられないこと •

    作業は投げられる、投げ先も事前に把握できる • 責任は投げられない やっておきたいこと • 責任組織・責任者は設定しておきましょう ※なお責めるのは絶対にNG • 適切な判断・決定のためのトレーニング ※机上訓練＋Hardeningとかパープルとか

40. ありがとうございました [email protected]