皆様の企業ではセキュリティインシデント(セキュリティの事故・事件)が発生した際の相談先企業は決まっているでしょうか?
一刻を争う状況下でサービス提供企業を検索し、問い合わせ、契約し、初めて会う人間が対応する、というプロセスを踏まなければならない状況は、ある種、脆弱と言えます。実際、お客様のお声として、事故調査に備え準備しておきたい、事前に契約を結んでおきたい、自社の環境について相談したい、といったご相談が増えてきました。
そこで、弊社は先日「フォレンジック事前調査サービス」をリリースしました。本ブログにてサービス概要をご紹介しますので、事前のインシデント対策をご検討中のお客様にご一読いただけますと幸いです。
フォレンジック調査とその問題点について
まず、フォレンジック調査とは、セキュリティインシデントが発生した際にどのような対応を実施すればよいか?を判断するために、対象の「PC」や「セキュリティ機器のログ」を調査して、侵入経路や被害状況、影響範囲などを調査する重要な作業です。
状況が刻々と変わり、被害範囲が拡大したり証拠が隠滅されるケースもあるため、インシデントに気づいた際は一刻も早くフォレンジック調査を実施すべきです。ですが、インシデントには各フェーズごとに以下のような課題があり、迅速な作業着手の妨げとなっているのが現実です。
- 【インシデント発生前】
- インシデントが「いつ」、「何処に」、「どのような経路で」発生するか予測できないため、事前にセキュリティ業者と取り決めを結ぶことが難しい。
- 【インシデント発生時】
- パソコンやネットワーク機器が使用不可になっている場合、サービス依頼先を探すのに時間がかかる。またインシデント発生下の慌ただしい状態で冷静に依頼先を検討している時間的、精神的余裕がなく、契約内容を吟味できない。
- 【フォレンジック調査時】
- 作業に必要なシステムやネットワークの資料が、被害を受けたPCやサーバーに保存されているため取り出せない。
これらの課題を解決すべく、我々はフォレンジック事前調査サービスをリリース致しました。
フォレンジック事前調査サービスでなにができる?
インシデント発生前に以下の施策を実施することで、迅速でスムーズなフォレンジック調査着手を可能にします。
- お客様のご要望を事前に確認します。
一言でフォレンジック調査といっても、個人情報の漏えい有無を確認したい、Webサイトの改ざんについて侵入経路を確認したい等、その目的により作業内容が異なる場合があります。通常フォレンジック調査の前に目的を確認してから作業を開始しますが、お客様のビジネスにおいて重視される情報資産をあらかじめ把握しておくことで速やかに作業着手することが可能となります。 - ネットワーク構成や利用サービス構成等、お客様の環境情報や重要資産の所在を共有いただきます。
上記同様、お客様環境や重要資産を確認してから作業を開始するため、事前にこれらの情報共有いただくことでスムーズに作業着手できます。ご参考までにフォレンジック調査開始前のヒアリング事項は下記の表に示しております。 - 上記情報をまとめて「インシデント事前資料」とし、ご契約期間中(1年間)管理・保管いたします。
【フォレンジック調査開始前のヒアリング事項】
対象システムに関する情報 | 使用用途 ネットワーク図 調査対象サーバおよびPCの台数 対象OSとバージョン情報 容量(HDD、メモリ) 構成(RAIDなど) HDDの接続方式(SATA、USBなど) HDDのファイルシステム |
必要なデータ | Webアクセスログ SSH関連ログ コマンドヒストリ Web関連ソースコード Webアプリケーションログ Windowsイベントログ データベースログ セキュリティ製品ログ ネットワークログ 対象システムログイン情報 |
フォレンジック事前調査サービスのメリット
インシデント発生時にスムーズに作業着手できることは分かったけれど、他にもこのサービスを契約するメリットはあるの?と思われた方がいらっしゃるかもしれません。実は他にもメリットがあります!
- フォレンジック調査サービスを割引でご利用いただけます
フォレンジック事前調査サービスご契約期間中(1年間)にインシデントが発生し、フォレンジック調査をご依頼いただく場合フォレンジック調査費用を割引でご利用いただけます。 - フォレンジック調査を優先対応いたします
同時期に他のお客様からフォレンジック調査のご相談をいただいた場合、フォレンジック事前調査サービスご契約中のお客様を優先案内させていただきます。
少しでも気になった方は、ご相談のみでもお気軽にお問合せください。
関連ブログ
インシデント発生時の対応について、もう少し詳しく知りたい方には以下のブログも参考になります。初動でまずすべきことや、全体の対応フローについてそれぞれ詳しく解説しておりますので、宜しければご一読ください。本ブログがインシデント対応を検討されている皆様のお役に立てますと幸いです。