2020年に参加した実践的サイバー防御演習「CYDER」に今年も参加しました。
CYDERとは、国立研究開発法人 情報通信研究機構(NICT)が主催する体験型の演習です。
CYDER=Cyber Defense Exercise with Rescurrence
今回のコラムではCYDER参加で学んだ内容を紹介します。
(CYDERでは具体的な演習内容については機密となっていますので伏せております。)
当日を迎える前に事前オンライン学習でインシデントマネジメントの基礎を学びます。
日頃は触れることのないツールを使用したログ解析などの技術的なスキルを習得することができました。
演習当日は、8名の参加者が2つのチームに分かれて、仮想組織のCSIRTとして演習を行います。
プラスエスのチームは4名で、行政職員の方が2名と金融系民間企業の方がメンバーです。
金融系民間企業の方は情報処理安全確保支援士の資格を持った方でした。
演習概要は「正体不明のマルウェアの感染から情報漏えい事案に発展したインシデントのハンドリング」です。
演習によるインシデントハンドリングは下記のような流れで行われました。
《検知・連絡受付》
インシデント第一報や検知の予兆からインシデントレスポンスのスタートとなります。
正しい発信源からの通報であるかが確認することが重要視されます。
PoC(Point of Contact)と言われる統一窓口を周知しておくことが必要です。
《トリアージ》
ヒアリングやログ解析などでの事実関係の確認を行った結果、対処の優先順位を付けます。
ヒアリングに抜けが無いように、事前に5W1Hヒアリングシートの準備をしておきます。
《インシデントレスポンス》
初動対応では、対応方針の決定や証拠保全を行います。
特に証拠保全は原因の究明には不可欠な要素ですので、そのままの状態での情報確保が重要です。
引き続き、封じ込めと根絶の対処を行い、最終的には復旧措置、再発防止策の検討を実施します。
《報告・公表》
インシデントの被害状況や影響範囲に応じて報告・公表を行います。
特に情報漏えいがあった場合には、監督官庁や所轄の警察への届けが必要になります。
《事後対応》
インシデントに関わったすべての関係者が参加して、「振り返り」を実施します。
インシデント収束後、約1ヵ月をめどに行うのが一般的です。
インシデントハンドラーのマネジメント次第で終息するスピードは変わると学びました。
全体を見渡す視点、ネットワークスキル、スピード感の3つのスキル向上が必要だと感じました。
今回のCYDERはB-1コースでした(2020年はAコースです。)ので、来年は次のステップへの参加を予定しています。
CYDERに詳細については下記リンクをご参照ください。
CYDERサイト
⇒ https://cyder.nict.go.jp/
結論:インシデント対応は日々のトレーニング!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
