[レポート] インシデントレスポンスの初動から終息までのフロー

トレンドマイクロ株式会社が提供してきたインシデントレスポンスサービスの実態はこれまでほとんど情報発信されていなかったが、同社が 11 月 20 日に都内で開催したカンファレンス DIRECTION 2015 においてインシデントレスポンスチームのメンバーが何名か登壇した。

本稿はトレンドマイクロ株式会社 スレットディフェンス SE 本部 サイバー攻撃レスポンスチーム 1 課 マネージャ 佐藤 健 による貴重な講演「インシデントレスポンスの初動から終息までの対応フローと必要な技術・手法」の内容を一部抜粋しレポートする。

佐藤は開発からキャリアをスタートさせ、その後マルウェア解析に転じた。リージョナル トレンド ラボに配属され、主に日本に特化した脅威解析を経たのちに、2013 年にサイバー攻撃レスポンスチームの発足メンバーとなった。現在は国内企業や官公庁を対象に、年間数十件のインシデントレスポンスの現場で陣頭指揮を行う。

はじめに佐藤は、標的型攻撃は終息に数週間かかるケースもあり、インシデントレスポンスは「とてもタフな作業」と語った。

いざインシデントが発生すると、状況把握や報告など多数のタスクが同時多発的にセキュリティ責任者にふりかかり、追い込まれた状況のもと、迅速かつ的確な判断を求められる。一時的に過負荷な状態が続いて、なかなか家にも帰れなくなり、体調を崩すことすら多いものの、セキュリティ担当者の替わりとなる人物がいたケースはこれまでほとんど見たことがないという。

終始平坦かつ淡々とした話しぶりの佐藤だったが「非常に苦労しているお客様を何度も見てきた」と述べ、「本当に大変」とくり返し強調した。

そうならないために、被害の発生に気づけるように事前にネットワークの可視化などの対策をすることが必要で、やられてからでは遅いという。