[レポート] インシデントレスポンスの初動から終息までのフロー ~ Trend Micro DIRECTION | ScanNetSecurity
2023.02.05(日)

[レポート] インシデントレスポンスの初動から終息までのフロー ~ Trend Micro DIRECTION

Q 1.外部機関から連絡があり、自組織から不審な通信がでていると指摘された場合最初に何をすべきか? / Q 2.インシデントレスポンスは何のために実施するのか? / Q 3.終息宣言・安全宣言はどのタイミング出すのか?

研修・セミナー・カンファレンス セミナー・イベント
トレンドマイクロ株式会社が提供してきたインシデントレスポンスサービスの実態はこれまでほとんど情報発信されていなかったが、同社が 11 月 20 日に都内で開催したカンファレンス DIRECTION 2015 においてインシデントレスポンスチームのメンバーが何名か登壇した。

本稿はトレンドマイクロ株式会社 スレットディフェンス SE 本部 サイバー攻撃レスポンスチーム 1 課 マネージャ 佐藤 健 による貴重な講演「インシデントレスポンスの初動から終息までの対応フローと必要な技術・手法」の内容を一部抜粋しレポートする。

佐藤は開発からキャリアをスタートさせ、その後マルウェア解析に転じた。リージョナル トレンド ラボに配属され、主に日本に特化した脅威解析を経たのちに、2013 年にサイバー攻撃レスポンスチームの発足メンバーとなった。現在は国内企業や官公庁を対象に、年間数十件のインシデントレスポンスの現場で陣頭指揮を行う。

はじめに佐藤は、標的型攻撃は終息に数週間かかるケースもあり、インシデントレスポンスは「とてもタフな作業」と語った。

いざインシデントが発生すると、状況把握や報告など多数のタスクが同時多発的にセキュリティ責任者にふりかかり、追い込まれた状況のもと、迅速かつ的確な判断を求められる。一時的に過負荷な状態が続いて、なかなか家にも帰れなくなり、体調を崩すことすら多いものの、セキュリティ担当者の替わりとなる人物がいたケースはこれまでほとんど見たことがないという。

終始平坦かつ淡々とした話しぶりの佐藤だったが「非常に苦労しているお客様を何度も見てきた」と述べ、「本当に大変」とくり返し強調した。

そうならないために、被害の発生に気づけるように事前にネットワークの可視化などの対策をすることが必要で、やられてからでは遅いという。

《高橋 潤哉( Junya Takahashi )》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×