編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
セキュリティインシデント対応の現場

第2回:インシデント発生現場で見られるサービスベンダーの諸課題

小倉秀敏 (日本IBM)

2019-02-12 07:00

 前回の記事では、インシデント発生現場で生じる課題についてサービスベンダーの立場からその事例と注意点を取り上げた。後編となる今回は、逆にインシデント現場から見たセキュリティサービスベンダーの課題を取り上げてみよう。

 ここでは我々が経験したことと、現場で見聞きしたIBMではない他のサービスを利用した際の課題が含まれている。

表3:利用者から見たサービスベンダーの課題
表3:利用者から見たサービスベンダーの課題

全容解明ができない

 全容解明ができない理由の一つに、当事者がフォレンジックサービスとインシデント対応サービスのサービス内容の違いを分からず利用してしまう点があるだろう。

 インシデント対応サービスは、全容解明を目的としてサービスが提供される。それに対してフォレンジックサービスでは、PC単体、サーバ単体の個々の分析が提供される。フォレンジックサービスを利用して全容解明する場合、個々の分析結果を総合的に判断して全容解明するのは、利用者側の役割だ。この違いを正しく理解してサービスを利用することが大切であるが、サービス提供者側が正しく説明していないケースも散見される。そのような事例を一つ紹介しよう。

 セキュリティインシデントに伴い、契約済みの年間サービスに基づき複数台のPCの分析を依頼したケースがあった。しかし、いずれのPCにも大きな問題は発見できなかった(アンウォンテッドソフトウェア[明確な不正は認められないが一般的に利用にふさわしくないと見なされるソフトウェア]程度の発見にとどまった)。

 実は、これはよく目にするパターンだ。しかも分析完了まで1カ月程度を要しており、途中の情報共有もなかった。有意な結果が得られなかったため、依頼側の組織は総合的な分析を申し入れたが、契約はフォレンジックサービスであったため、それを理由にサービスベンダーはフォレンジック以上のことは実施しなかった。

 これはサービス内容の違いを理解せずに契約してしまった利用者側の知識不足が原因ではあるが、実際にはサービスベンダー側が正しく違いを説明していないことが問題であろう。インシデント対応サービスを提供するベンダーには、フォレンジックをする能力を持つが、フォレンジックベンダーにはインシデント対応サービスを提供する能力を持たないことがある。利用者側は何が必要なのか理解した上でサービスを見極める必要がある。

報告結果が評価できない

 実は、これも根本的にはインシデント対応サービスとフォレンジックサービスの違いだと言えるだろう。フォレンジックサービスは、基本的に分析対象を個別に分析し、個別の結果を報告してくる。そのため調査対象から他ホストへの不審なネットワークログオン記録を発見しても、対象となるホストのログを確認するわけではないため、報告書では「不審なネットワークログオンの可能性がある」という文言になる。

 このような表記が至る所で使用されるため、依頼側は報告書の内容が十分であるか否か評価することができなくなる。そして報告された「可能性」を確認するために、他ホストを含めた追加検証を実施する必要が生じる。「可能性」だけでは、次に取る行動が決定できないためだ。

 フォレンジックサービスベンダー側は、「技術的見地から確実だと断言できないため可能性があるとしかいえない」という主張をする。筆者は、実際にそのように説明する技術者と会話したこともある。ただ残念ながら、技術的に100%解明できることはほとんどないのが現実だ。過去の経験やパターンから推測を交えつつ評価することがサービスベンダーに求められていると、インシデント対応経験から強く感じている。この点をインシデント対応サービスベンダーは理解し、サービスを提供している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]