企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、さまざまな疑問に直面していると思います。どんな対策をどこまでやれば安全なのか?ネットワークに脅威が侵入してしまったときに何をすればよいのか?本連載「すぐに役立つセキュリティ対策」では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、すぐに業務に活かせる形で提供してまいります。前回までは自組織のネットワーク内でウイルス検出があった場合、何らかの対処を行うべき危険性の高い検出ケースかどうかをウイルス対策製品の検出ログから判断する方法について述べてきました。危険性の高い検出が確認された場合、その問題の端末を特定し、ウイルスの存在を調査する必要があります。今回はこの「端末調査」の際に優先すべきことの観点から述べます。
■危険性高の検出を確認、最も優先すべきことは?
端末調査にあたっては、何を優先すべきか決めておくことが肝心です。業務の回復を優先事項とする場合、まずは端末調査により問題を切り分け、不正プログラムが侵入していた場合には削除し、問題がない状態にして業務に戻す、という対応をすることになるでしょう。しかし、時と場合よっては、感染原因や侵入経路を特定するような調査対応が必要となることもあるかもしれません。この場合は一般的に「フォレンジック」と呼ばれるような、全く異なったアプローチが必要です。問題発生時に速やかに対処するためには、何を優先にするべきかを事前にはっきり決めておくことが最も重要なのです。
一般の企業ではほとんどの場合、最優先すべきことは「業務」になると思います。この業務への復帰を最優先とした場合、これまでトレンドマイクロが支援してきた、さまざまな企業での対応から言える最も効率的な対応、つまりベストプラクティスは、問題端末を別の安全な端末でリプレースしてしまうことです。不正プログラム侵入の可能性が高い検出があった端末を使用者から回収し、新しい端末を使用してもらいます。使用者は新しい端末を業務が可能な状態にセットアップする必要があります。しかし、社内で利用されるソフトウェア環境をあらかじめ定義しインストールした状態にして使用者に渡すことで、比較的速やかに業務復帰させることが可能です。
問題端末は IT管理者側で引き上げ対応します。実際にこの対応方法を採っている企業の多くは、回収端末の問題特定のために一定の調査を行っているようです。また、最も割り切った対応として調査は行わず、すぐにシステムの再インストールを行う方針を取っている企業もあるようです。セキュリティベンダーの立場としては、問題端末の調査から不正プログラムの疑いのある検体ファイルを収集し、端末に入っている対策製品のベンダーへ解析依頼をしていただくことは、今後同じ不正プログラムの被害を未然に防ぐことに繋がりますので、ぜひ行っていただきたいと考えています。実際、トレンドマイクロを含め、各セキュリティベンダーでは調査用のツールを用意しており、実際に IT管理者側で行っていただく作業は最小限になっていっています。しかし、これは企業として何を優先すべきかでどこまでの調査を行うべきか判断していただくことでしょう。
端末リプレースの対応で問題になりやすいのは、問題端末内に保存されたデータやファイルの取り扱いです。使用者は問題端末内にしか保存されていないデータやファイルが、業務回復にどれだけ重要であるかを主張することが多いと思います。このような場合のためにも、ウイルス検出時の対応について事前に周知しておき組織の合意を取っておくことが重要になります。ウイルス検出時には問題端末は使用できなくなること、端末内のデータは調査終了時まで回復できない、もしくは失われる可能性もあることを事前に周知することで、データやファイルをなるべくサーバー上で扱ったりするような業務習慣を促すことが出来ます。
■「業務」最優先のベストプラクティス
業務優先で端末調査を考えた場合、問題端末のリプレースが最も効率が良いことがわかっていますが、実際の運用のためにはいくつかのハードルがあることも事実です。まず前提として、リプレースのための端末を普段から一定数以上確保しておくことが必要になります。また、リプレースを行うためには物理的に代替端末を渡すことになります。会社組織のすべてが 1つの建物に集まっているような場合はよいですが、地理的に離れている場所に分かれている場合は実施しにくいことになります。ただしこれらのハードルはどのような対処を行うにせよ存在するものであり、実際に運用している組織では事前に対応方針を決めておくことで準備ができているようです。リプレース用端末の確保はやはり事前に準備しておかなければ実現できませんし、物理的地理的に離れた場所への対応も、代替端末の配送手順などをしっかり決めておくことでスムースになります。また、リプレースを最善の対処と位置付けることで、それができないときに何を優先して実現していくべきなのかもわかりやすくなります。
では今回のポイントをまとめてみます。
- 業務優先のベストプラクティス:
- 危険度の高いウイルス検出のあった端末は安全な端末でリプレースする
- 問題端末はIT部門など、対応を行う部門で回収し対応を行う
- 問題発生時のスムースな対応の実現には、セキュリティポリシーやインシデント発生時プロセスなど、事前のルール策定とそれに基づく準備が最も重要
その他、検出ログから得られる情報として、「検出コンピュータ名」は調査対応を行う際の端末特定に必要です。また、「検出ウイルス名」からウイルス情報を調べることにより、侵入した不正プログラムの活動内容などを確認できます。以前は不正プログラムの活動内容は危険度の判断の上で重要な情報でした。しかし、現在では複数の不正プログラムが連鎖する脅威モデルが一般的となっているため、単体の不正プログラムの活動内容からは全体の危険度が判断しづらくなっています。
「すぐに役立つ!」というタイトルからは少し離れた結論かもしれませんが、実際の運用を考える上では現場の対応だけではカバーできない範囲があることを認識することも必要でしょう。特に、どこまでやるべきかの指針を持っておくことは、IT部門のリソースが少ない企業にとって重要です。
次回はより具体的な調査において必要な考えをまとめます。
■トレンドマイクロのソリューション
法人のお客様向けに特に手厚いサポートサービスを提供する「トレンドマイクロプレミアムサポート」では、お客様の環境を把握したテクニカルアカウントマネージャがウイルス検出時の判断や実際の調査対応についてサポートいたします。
※執筆協力:トレンドマイクロ・プレミアムサポートセンター