脱・構築後の形骸化、実行力向上に必要な決めるべきこと

Transcript

1. 脱・構築後の形骸化 実⾏⼒向上に必要な 決めるべきこと 2025/11/19 @Cyber-sec+, meetup #7 Kenta Nakanishi, @nknskn

   1

2. ⽬次 u ⼀般的なCSIRTの仕事と形骸化 u 決めるべきこと3点 u まとめ︓脱・形骸化 2

3. 所属紹介 3 会社名 BarrierCrack合同会社 設立 2024年3月 事業内容 • 物理ペネトレーションテスト •

   セキュリティトレーニング • その他セキュリティ関連サービス 主な取引実績

4. ⾃⼰紹介︓中⻄ 健太 u X︓@nknskn u お仕事︓ITセキュリティ関連、専⾨は攻撃側（にいたい） u 外向け︓Red Team/ペネトレ/脆弱性診断/コンサル 内向け︓CSIRT構築・運⽤やらパープル（Red

   & Blue）系のR&Dやら u 個⼈︓企業セキュリティを⾼める副業をしたり、登壇させていただいたり u 経験値︓ u ベンダ企業で攻撃系サービス（RT/ペネトレ/診断とか）を⼀通り、インシデント対応 （ランサム事案やら不正アクセス事案やら内部不正やら）のハンドリング・調査など u チームマネジメント関連︓リソースコントロールやらメンバー育成やら他部署との連携や ら u スキル︓ざっくりOSCE3ぐらい 4

5. はじめに u 簡単に出来たら苦労しないのは重々承知の上で、いろいろ端折って簡単に書い ています u 作りながら「簡単にできたら苦労しねーよ」と何回もため息をつきました… u CSIRTの仕事は多岐にわたり、そしてリソースは限られているため、 「なにから⼿を付けるか」を決める際には、“選択”と”集中”が重要です u

   本LTは”選択”の材料提⽰が⽬的です 5

6. CSIRTの⼀般的な仕事と形骸化 6

7. CSIRTの⼀般的な仕事 u Computer Security Incident Response Team u コンピュータセキュリティにかかるインシデントに対処するための組織 u

   活動内容は「インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析 し、対応⽅針や⼿順の策定」など https://www.nca.gr.jp/outline/about.html 7 ⾃社におけるCSIRTの定義と 活動⽬的・⽬標は別で定める必要がある

8. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントを対処するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

   形骸化 というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは 8

9. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントを対処するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

   形骸化 というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは 9 きっかけはアサヒグループHDさんやアスクルさんの事例や、 取引先からの「対応状況チェックリストの提出」とさまざま

10. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    形骸化 というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは 10

11. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    形骸化 というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは 11

12. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    形骸化 というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは 12

13. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    結果、形骸化 13

14. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    結果、形骸化 ⇒というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは︖ 14

15. CSIRT”形骸化”の流れ（妄想） u （上層部）インシデントがヤバい u （上層部）“CSIRT”っていうやつがインシデントに対応するチームらしい u （上層部）とりあえず作ろう︕︕ u （現場）で、何すればいいの︖ u

    結果、形骸化 ⇒というより、そもそも⽬的や⽅針、⽬標が設定されていないのでは︖ 15 本LTのすべて

16. 本LTでの到達⽬標点 u 動きが⽌まってしまった（形骸化した）CSIRTが、動き出すための材料の提⽰ u ⽅法論は、時間の関係上別の⽅にお譲りします… u 「“インシデント対応のゴール」の”ぼんやり”解消 u なんのためにインシデント対応をするのか u

    “インシデント対応”をするとき、最終着地点はどこなのか u 「なにから⼿を付けるか」（選択）の検討材料提⽰ 16

17. ⽬的 17

18. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・利 益を守るチーム/組織 18

19. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 19 組織規模や事業内容、業務⽅法などを考慮した結果の定義

20. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 20 役割

21. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 21 どちらかというと役割 役割

22. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 22 ゴール＆役割 どちらかというと役割 役割

23. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 23 ⾃社の”CSIRTの対応⽬的/ゴール”はなに︖ 決めるべきこと その①

24. CSIRTの対応⽬的 u ⼀般的: u CSIRT協議会: コンピュータセキュリティにかかるインシデントに対処するチーム u JPCERT/CC: 組織内の情報セキュリティ問題を専⾨に扱うチーム u

    会社A: インシデントハンドリングを専⾨性からサポートするチーム u へーしゃ(わたし): サイバーインシデントから、専⾨的な知識や技術で以て、⾃社のビジネス・ 利益を守るチーム/組織 24

25. ⽅針 25

26. u ⽅針A: 事前防御 - 発⽣しないように頑張る u ⽅針B: 事後対応準備 - 発⽣した場合に備えて頑張る

    26 “インシデント対応準備”の「頑張る⽅針」

27. “インシデント対応準備”の「頑張る⽅針」 u ⽅針A: 事前防御 - 発⽣しないように頑張る u ⽅針B: 事後対応準備 -

    発⽣した場合に備えて頑張る 27 多くのCSIRTは（おそらく）こちらを選択

28. “インシデント対応準備”の「頑張る⽅針」 u ⽅針A: 事前防御 - 発⽣しないように頑張る u ⽅針B: 事後対応準備 -

    発⽣した場合に備えて頑張る 28 アサヒグループHDさんやアスクルさんの事例を省みると こちらの”レジリエンス”も重要 多くのCSIRTは（おそらく）こちらを選択

29. “インシデント対応準備”の「頑張る⽅針」 u ⽅針A: 事前防御 - 発⽣しないように頑張る u ⽅針B: 事後対応準備 -

    発⽣した場合に備えて頑張る 29 優先する⽅（経営判断） 決めるべきこと その② アサヒグループHDさんやアスクルさんの事例を省みると こちらの”レジリエンス”も重要 多くのCSIRTは（おそらく）こちらを選択

30. “インシデント対応準備”の「頑張る⽅針」 u ⽅針A: 事前防御 - 発⽣しないように頑張る u ⽅針B: 事後対応準備 -

    発⽣した場合に備えて頑張る 30 優先する⽅（経営判断） 決めるべきこと その② アサヒグループHDさんやアスクルさんの事例を省みると こちらの”レジリエンス”も重要 多くのCSIRTは（おそらく）こちらを選択 個⼈的には⽅針B優先を オススメしたい

31. 参考）頑張る領域 31 ⼈ プロセス テクノロジー 事前 防御 事後 準備 態勢・仕組み・システム

    インシデントの 検知・認知

32. 参考）頑張る領域と対応例 32 教育 ⼈ 厳格化 プロセス 堅牢化 テクノロジー “BCP／復旧” ”封じ込め・根絶”

    各種⼿順と経験 事前 防御 事後 準備 態勢・仕組み・システム インシデントの 検知・認知

33. 参考）頑張る領域とインシデントの元 33 教育 不 注 意 ／ 内 部 不

    正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 態勢・仕組み・システム インシデントの 検知・認知

34. 参考）頑張る領域とインシデントの 跳ね返しイメージ 34 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム インシデントの 検知・認知

35. 参考）頑張る領域とインシデントの跳ね 返しイメージ 35 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム • 中⻄は⾃社でこちらを優先度⾼として設定 • （宣伝）”パープルチームトレーニング”サービス 提供中

36. 参考）中⻄の”選択”した優先順位 （1/4） 36 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム １ 最後の防波堤を作成

37. 参考）中⻄の”選択”した優先順位 （2/4） 37 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム １ 利⽤システムが少ないうちに 堅牢化 2

38. 参考）中⻄の”選択”した優先順位 （3/4） 38 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム １ 中⼩なので、動きが重くならないよう 後回し＆ある程度緩く 2 3

39. 参考）中⻄の”選択”した優先順位 （4/4） 39 教育 不 注 意 ／ 内 部

    不 正 ⼈ 厳格化 運 ⽤ 不 備 プロセス 堅牢化 0 d a y テクノロジー “BCP／復旧” ”封じ込め・根絶” 各種⼿順と経験 事前 防御 事後 準備 インシデント インシデント インシデント インシデント インシデント インシデント 態勢・仕組み・システム １ ⼈が⾮常に少ない＆攻撃側の⼈間で知⾒ 豊富なので、いっそ”やらない”（かも） 2 3 4

40. ⽬標の設定 40

41. ⽬標設定の例 41 ⽅針 領域 例 実施項⽬ 例 設定 例 事前防御

    ⼈ 教育 • メール訓練の開封率10%以下 プロセス ルールの策定と徹底 • 抜き打ち監査で”未徹底”発⾒率5%以下 テクノロジー EDRの導⼊ • クライアント（⼀般従業員）端末への導⼊率100% • 基幹サーバへの導⼊率80% 検知・認知 ⼈ 教育 • メール訓練時の開封時報告率95%以上 テクノロジー SIEMへのログ転送 • 転送設定済み台数90%以上 事後準備 封じ込め・根絶 遠隔での端末隔離 • 認知から15分以内 遠隔での基盤サーバ隔離 • 認知から30分以内 BCP（復旧・代替・新規） 代替ネットワークのデプロイ • 認知から20分以内 VPN接続先NW切り替え • 認知から30分以内 通知 対内へのアナウンス・情報統制 • 認知から1時間以内 対外・顧客等への報告 • 影響確認から30分以内

42. ⽬標設定の例 ⽅針 領域 例 実施項⽬ 例 設定 例 事前防御 ⼈

    教育 • メール訓練の開封率10%以下 プロセス ルールの策定と徹底 • 抜き打ち監査で”未徹底”発⾒率5%以下 テクノロジー EDRの導⼊ • クライアント（⼀般従業員）端末への導⼊率100% • 基幹サーバへの導⼊率80% 検知・認知 ⼈ 教育 • メール訓練時の開封時報告率95%以上 テクノロジー SIEMへのログ転送 • 転送設定済み台数90%以上 事後準備 封じ込め・根絶 遠隔での端末隔離 • 認知から15分以内 遠隔での基盤サーバ隔離 • 認知から30分以内 BCP（復旧・代替・新規） 代替ネットワークのデプロイ • 認知から20分以内 VPN接続先NW切り替え • 認知から30分以内 通知 対内へのアナウンス・情報統制 • 認知から1時間以内 対外・顧客等への報告 • 影響確認から30分以内 42 実施項⽬（やること）は“CSIRT スタータキット ver 3.0”などを参照し、整理すると良さそう

43. まとめ︓脱・形骸化 43

44. まとめ u 形骸化から脱却するため、”やることの明確化”の材料を出してみました u 重要なのは”⽬的”、”⽅針”、”⽬標”の3つの設定 u 全員が同じ⽅向を向いて動くために、今⼀度確認してみては︖ u ⽬的: CSIRTの対応⽬的/ゴール（”インシデント対応時”のゴール）

    u ⽅針: 事前対応と事後対応の準備、どちらを優先するか u ⽬標: 事前防御・事後対応のやること整理＆⽬標値の設定 44

45. 参考） u ⼿前味噌ですが、以前ssmjpさんにお邪魔してお話したものもあるので、 ご興味があれば… u インシデントレスポンス完全に理解した https://speakerdeck.com/nknskn/insidentoresuponsuwan-quan-nili-jie-sita u The DFIR

    ReportのVolunteer Analyst公募にチャレンジして爆発四散した話 https://speakerdeck.com/nknskn/the-dfir-reportnovolunteer-analystgong-mu- nitiyarenzisitebao-fa-si-san-sitahua u 社で⼀⼈CSIRTを作ってみた話（with AI） https://speakerdeck.com/nknskn/03-she-de-ren-csirtwozuo-tutemitahua-with-ai 45