セキュリティの
学び場

今回の解説ニュース

県や市のネットワークに障害が発生し、一部のシステムが利用できない状態になったということです。セキュリティ3要素の一つである可用性が損なわれる原因や、インシデント対応で気を付けるべきポイントについて説明します。

今回のインシデントは、県や市のWebサーバが閲覧できなかったり、メールの送受信ができなかったりする状態が発生したということです。原因として、サーバー内の設定情報が一部壊れたことにより、クラウドの誤動作によるシステムダウンが発生したことが挙げられています。なお、現在システムは復旧しており、各種ログを解析したところ、外部から攻撃された痕跡は確認されていないということです。

今後、原因の本格究明を行い、再発防止策を講じると発表されています。

システムダウンには誤作動以外にどのような要因が？

システムダウンなど可用性を損なう原因として、サイバー攻撃やマルウェア感染などが挙げられます。インシデントの詳細については発表されていないので、あくまでも一般論として説明します。

まず、「可用性」とは、セキュリティ3要素の1つで、権限を持った人が情報資産を必要なときに使用できることです。サイバー攻撃など外的要因だけでなく、設定ミスなど内的要因でも、システムへアクセスできなくなるなど、可用性が損なわれるインシデントは発生する可能性があります。可用性を損なうサイバー攻撃として「高負荷攻撃」と「脆弱性攻撃」が挙げられます。

「高負荷攻撃」はDDoS攻撃などに代表される量的な攻撃です。システムの許容範囲以上の通信や処理を発生させて、CPUやメモリ、ネットワーク帯域などに高負荷な状態を発生させ、通常のアクセスができない状態になります。

「脆弱性攻撃」は、システムに残された脆弱性をついた攻撃です。攻撃者にとって最大の目的はシステムへの侵入です。しかし、脆弱性の種類や攻撃のされ方によっては、脆弱性をつかれたプログラムが誤動作することで、システムダウンへつながる可能性があります。

また、可能性を損なうマルウェア感染として「ランサムウェア」への感染が挙げられます。ランサムウェアに感染すると、システムに保存されたファイルが暗号化されてしまいます。ファイルが暗号化されてしまうと、システムが読めなくなってしまいますので、正常に動作することができなくなる可能性があります。

インシデント発生、セキュリティ担当者がすべきこと

システムダウンするなどのインシデントが発生した場合、セキュリティ担当者はインシデント対応フローに従ってトリアージを行い、必要に応じて事象の分析を行うことが必要です。

インシデント対応においての優先順位を付ける

トリアージとは、インシデント対応において優先順位をつける作業です。インシデントへ対応するためのリソースは有限であるため、発生したインシデントが対応する必要がある事象か判断した上で、優先順位をつけて関係者と情報のやり取りをしたり、報告を行ったりします。

初動対応では何より「冷静な判断」が必要

システムダウンを含むインシデントが発生した際に、いきなり対応から入らず判断が求められる理由として、発生した事象がインシデントではない可能性があるからです。例えば、セキュリティ対策が誤検知をした場合や、通報者が勘違いをした場合が挙げられます。場合によっては無関係の事象をインシデントと誤認し、別のインシデントを招いてしまう可能性もあります。初動対応では「冷静な判断」が何よりも必要です。

インシデントか判断を行った上で「事象の分析」を行う

対応すべきインシデントか判断を行った上で、事象の分析を行います。対応すべきと判断したインシデントの場合、自組織での技術的な対応の可否や、他組織への連携を行うか経営層と連携して判断を行います。自組織での対応が困難な場合、必要に応じて他組織とも連携しながらインシデント対応を行い、改めて問題が解決しているかを確認します。問題が解決していなければ再度事象の分析を行い、問題が解決していれば利害関係者に対して報告を行います。すべての状況において関係者との情報共有を密に行うことが求められます。

今回は、可用性が損なわれる原因とインシデント対応のトリアージについてお届けしました。もし、インシデント対応フローが整備できていない場合は、これを機に作成を検討してみてはいかがでしょうか。参考リンク欄にJPCERT/CCが公開しているインシデントハンドリングマニュアルのURLを記載しておりますので、皆さんのご参考になれば幸いです。

音声で聴かれるかたはこちら