「社内のPCがウイルスに感染したらしい」「外部から情報漏えいを指摘された」「外部のサーバーと不正な通信をしていることが分かった」──。セキュリティの問題は、ある日突然、身に降りかかる。

 すぐにセキュリティベンダーに連絡し、調査や復旧を依頼しよう。そう思う人も多いだろう。ところが、セキュリティベンダーの担当者がすぐに来てくれるとは限らない(図1)。

図1●専門業者も手一杯ですぐには対処できない
図1●専門業者も手一杯ですぐには対処できない
外部の攻撃サーバーとの通信が発覚し、専門業者に調査・復旧を依頼しても、人手不足ですぐには来てもらえないことがある
[画像のクリックで拡大表示]

 今年は、日本年金機構の標的型攻撃による大規模な情報漏えいがきっかけとなり、多くの対応依頼がセキュリティベンダーに舞い込んでいる。例えば、あるベンダーには昨年同時期と比べ、3~4倍の依頼が来ているという。このため、多くのセキュリティベンダーが、「依頼が多くて対応しきれない。2~3カ月待ってもらうことがある」と話す。

 ネットエージェントの杉浦隆幸氏(取締役 会長)は、「需要が定期的に来ないことが原因。事件ありきで需要が急増したため、供給が追い付かなくなった」と打ち明ける。ただし、サービスの内容によってはすぐに対応できるものもある。例えば、ディスクを調べて攻撃の痕跡を探るフォレンジック調査など時間がかかるものは難しいが、インシデント対応のコンサルティングであれば比較的早く応じられるケースがあるという。

優先すべきことを決めておく

 ベンダーに応援を頼めない場合は、自社のセキュリティ担当者が対応することになる。トレンドマイクロの岡本勝之氏(セキュリティエバンジェリスト)は、対応のポイントとして「何を優先するかを決める」ことを挙げる。

 例えば、「復帰」(仕事ができる状態にする)と「調査」(被害の内容を知る)のどちらを優先するかで、対応の仕方が異なってくる。復帰を優先するならば、感染PCをネットワークから外して、OSを再インストールしてネットワークにつなぎ直すといった方法が考えられる。一方、重要なネットワークなので、感染原因や被害の内容・規模を知りたい場合は、PCを現状のまま確保しておかなければならない。

 PCを現状のまま確保する場合、注意が必要だ。電源を落としただけでもメモリーの内容が失われ、調査がうまくいかなくなることがある。また、ウイルスによってはLANケーブルを抜いたときに、物理的にネットワークから外されたことを察して自分自身を消してしまうものがある。

 つまり、被害拡散を防ぐことが目的ならばLANケーブルを抜くのは間違っていないが、調査を優先する場合はそれが正しいとは限らないのだ。岡本氏は「今の常識でいうと、目的は被害の拡散を防ぐことなので、まずはPCを切り離す。だが調査を第一に考えているなら、常識とは逆のことをしないといけない。何を優先するかを決めておくべき」と指摘する。

 また、感染PCを隔離する方法がいくつかあることも押さえておきたい。物理的にLANから外す方法以外にも、ソフトウエアの設定でPCからのアクセスを遮断する方法(第2回記事の図3)、仮想ネットワークを用意してそこにつなぐ方法などがある。いざというときのために、こうした情報を日ごろから集めておくことが大切だ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。