CSIRT関連機関

• CSIRT
  • Computer Security Incident Response Team
  • 企業や組織内に作られる専門チーム
  • 発生前：脆弱性情報の収集からパッチ適用等の予防策など
  • 発生時：インシデントハンドリング
  • 発生後：再発防止策
  • 代表者はPoC
• JPCERT/CC
  • 日本の国際連携CSIRTコーディネーションセンター
  • 分析センター
• CERT/CC
  • 米国の国際連携CSIRT
• APCERT
  • Asia Pacific Computer Emergency Response Team
  • アジア太平洋地域における、コンピュータセキュリティインシデント対応組織の協力体制を構築する目的で設立されたフォーラム
• CSIRT協議会
  • 日本のCSIRTの集まり
• FIRST
  • Forum of Incident Response and Security Teams
  • 世界的なCSIRTの集まり
• IPA/ISEC
  • コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届け出の送付先

インシデント発生前

• 情報収集と事象分析
• 脆弱性対応
  • パッチの適用
• 情報提供
  • 普及啓発活動、注意喚起
• 対応手順の決定
  • プロセスの明確化
  • マニュアルの整備
  • 訓練の実施

インシデントハンドリング

• 検知/連絡受付
  • 定期点検、保守作業
  • 監視システムからのアラート
  • 社員からの連絡、連絡窓口の設置
• トリアージ
  • 優先順位付け
    • 事前に判断基準は定めておく
  • 情報収集/情報提供を要請
  • 影響範囲の特定と必要に応じて応急対応
  • 対応の要否の決定
  • 利用者への注意喚起
• インシデントレスポンス
  • 事象分析
  • 対応策の決定と対応計画の作成
  • 対応策の実施
  • 報告者への回答
• 報告/情報公開
  • 取引先等関連したところに報告
  • 監督官庁、捜査機関等への連絡
  • メディアへのプレスリリース

インシデント発生後

• 再発防止策の検討
  • 原因分析から再発防止策の検討
  • ポリシの見直し、マニュアル改訂

インシデント関連キーワード

• EDR
  • Endopoint Detection and Response
• ディジタルフォレンジックス
• インシデントラッキングシステム
  • インシデントの対応状況や進捗状況を管理するシステム

脆弱性対応の手順

• 情報収集
  • メーカや開発企業のサイトのチェック
  • 統合管理システムの利用
  • JVNのMyJVN脆弱性対策情報ツール等の利用
  • 外部の情報提供サービスを利用
• 深刻度評価
  • CVSS環境値
• 措置の実施
  • 修正プログラム（パッチ）の適用
  • 一時的にIPSやFWで攻撃が抑止できる場合は実施する
  • 当該製品の利用をいったん停止する
• 事象分析
  • 資産管理
    • 利用しているハードウェア及びソフトウェアの正確な情報の把握
  • 監視
    • ID利用状況
    • 各機器のログ
    • 改ざん検知
    • EDR
  • 脆弱性診断
  • ペネトレーションテスト

脆弱性関連ワード

• JVN
  • Japan Velnerablity Notes
  • 発見されたソフトウェアなどの脆弱性関連情報（JVN脆弱性レポート）
  • 脆弱性情報を収集するためのツール（MyJVN脆弱性対策情報ツール）
• CVSS
  • 基本評価基準
    • 脆弱性そのものの特性を評価
    • 固定
  • 現状評価基準
    • 脆弱性の現在の深刻度を評価
    • 変動
  • 環境評価基準
    • 利用環境を含めて最終的な脆弱性の深刻度を評価