自社でできること、専門家に頼るべきところ

DFIRの領域（第1回の記事であげた３つの項目のうち、２番目「被害の拡大を防ぐための止血作業」と３番目「被害の範囲や影響を把握するための調査」の項目）は、システムやプラットフォーム、サービスへの侵害を想定した場合には、技術的な高い専門性が必要です。仮に、これらの項目をDFIRの専門性が無い担当者が実施した場合にはどのようなことが起こるでしょうか。

まず、２番目「被害の拡大を防ぐための止血作業」についてです。侵害を受けたシステムのネットワークからの隔離や、不正アクセスされたアカウントの停止等は思いつく方もいるかと思います。これらは様々なインシデントにおいて、被害の拡大を防ぐ止血的な対処としてよく実施されます。正しく対処するための難しさは、それらのタイミングや規模、そしてその他の環境やインシデントに固有の対処手段の見極めです。特に、ランサムウェア等、ビジネス運用の一部が停止している場合などでは、理想的な対処を一から実施する時間的な猶予が無い場合も多くあります。この場合に、どこまでやるとどれくらいのリスクか、優先的に実施すべき対処は何か、を正しく説明するには、相応のインシデント対応の経験が必要になります。

仮に、専門性のある人材の支援を受けずに、場当たり的に止血作業を実施していくと、同じ攻撃者や同様の攻撃による再侵害を受けることがあります。そうでなくとも、対処時にまだ環境内で攻撃者が活動している場合には、順に行われる止血作業を察知して、それを妨害、または回避するようなカウンターレスポンスと呼ばれる行動を起こすことがあります。実際に、私も、対処したつもりだったが実は、侵害が継続していたという現場をこれまでも幾つも見てきています。

次に、３番目「被害の範囲や影響を把握するための調査」についてです。インシデントに正しく対応し、同じようなサイバー攻撃が２度と起こらないようにするためには、攻撃がどこから開始し、どの範囲までどんな影響があったのかを明らかにする必要があります。このような調査をデジタルフォレンジック調査と呼びます。WindowsやLinux、MacOS、ネットワーク機器と言ったシステムや、M365、GWS、AWS、Azure、GCP等の多機能なプラットフォームでは、デジタルフォレンジック調査に関する技術的な知見が必要です。クラウドプラットフォームの場合には、ある程度のセキュリティの知見があれば調査ができる場合もありますが、システムの調査は人材の専門性に加えて、侵害の兆候や痕跡を効率的に調査するための調査環境やツールも必要になります。

止血的な対処とデジタルフォレンジック調査は、調査で新たに判明した事項から止血的な対処を検討する、というようにタイミングを見極めて並行して実施していくため、正しく実施されない場合の影響は、先程あげた、再侵害やカウンターレスポンスにつながります。また、最終的にインシデントの全容が把握できていないと、適切な中長期的な改善もブレが出てしまい、組織としてのセキュリティ向上に繋がらなくなってしまいます。

いざという時の備えが無いとどうなるの？

ここまでで、インシデント対応において、DFIRの領域（止血的な対処やデジタルフォレンジック調査）は必要不可欠なものである一方で、専門性が必要であることをお話してきました。では、いざとなったら、DFIR外部の専門業者に頼るように、CSIRT体制を想定しておければそれで十分なのでしょうか。

当然ですが、深刻なサイバー攻撃の被害を受けた時には、一刻も早く対応を進めたい状況になります。一方で、インシデントが起きてからDFIR専門業者のサービスを検討すると、何を基準に業者を選定すれば良いのか、予算の申請はどうするのか、契約手続きはどうなるのか、と言った課題を時間的に猶予もなく、非常に高いプレッシャーの中で解決していく必要があります。組織の規模が大きくなるほど、これらの手続きには時間がかかり、数週間経って、ようやくサービスを契約できたという例もよくあります。

このような時間的な問題に加えて、実は、セキュリティ分野の中でも、DFIRの専門性を持つ人材は非常に限られており、専門事業者はいつでも誰にでもサービスを提供できるだけの供給がありません。これは、上記でお話した、サイバー攻撃への対処や調査に関する現場レベルのノウハウが公には出回らないことに起因しています。実際にインシデントに対応しないとDFIRの専門性を獲得するのが困難である一方で、経験の無い人材をDFIR専門業者が一から教育できる余力がありません。このため、新たな人材が流入しにくく、慢性的な人材不足が発生しているからです。

結果として、DFIR専門事業者のサービスは高価になりがちで、インシデントが頻発している時期には、対応を断られるケースも多々あります。現実的に、このような自体を防ぐ手段として、法分野における顧問弁護士のように、予めDFIR専門事業者と契約し、優先的な対応権を確保しておくことが考えられます。このようなリテイナー型のDFIRサービスを結んでおくことで、重大なセキュリティインシデントが発生した場合にも、上記のような課題を気にせず、即座に支援を受けることができます。リテイナー型のDFIRサービスは、大企業を中心に徐々に普及してきていますが、まだまだ日本の社会全体には行き届いていません。

サイバー攻撃を受ける前にBlackpanda IR-1

最後になりますが、Blackpandaはこのような日本社会の現状に一石を投じるDFIR専門業者であると思っています。「セキュリティに予算が無い」、「セキュリティの専属担当がいない」、というような状況であっても、先に述べた通り、重大なセキュリティインシデントが起きたら対応する必要があります。IR-1は、このような中小企業であっても手が届く価格で、リテイナー型のDFIRサービスを提供しています。
IR-1にご興味、ご相談、ご質問がございましたら、お気軽にご連絡ください。