企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る

研修・セミナー・カンファレンス セミナー・イベント

11月28日から12月1日に、日本ネットワークインフォメーションセンター(JPNIC)主催の非営利イベント「Internet Week 2017 ~向き合おう、”グローバル”インターネット~」が、浅草橋のヒューリックホール&カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC)2が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

連載で、情報セキュリティに関するプログラムの見どころをお届けする。1回目の今回は、11月29日(水)9:30~15:45に行われるプログラム「インシデント対応ハンズオン2017」について、JPCERTコーディネーションセンター(JPCERT/CC)で実際にこのプログラムを企画した西野究氏と、講師を務める分析センターの遠藤拓也氏ならびに高橋渉氏に話を聞いた。


――今回、インシデント対応のハンズオンということなのですが、具体的にどういう内容になるのでしょうか?

昨年のInternet Weekで、「実践インシデント対応~侵入された痕跡を発見せよ~」と題したプログラムを行いました。標的型攻撃などで組織に侵入した攻撃者は、いろいろなマルウェアやツールを使って、組織内の情報収集や侵害活動を行います。そのような攻撃者による侵入・侵害の痕跡を発見するため、 実際の標的型攻撃で使用されたマルウェアやツールが、Windowsのイベントログにどのような痕跡を残すのかを体験していただくために、ハンズオン形式(実際にパソコンを操作して学習する形式)で実習したのが、昨年のプログラムでした。

今年も基本的な内容としてはハンズオン形式での学習とし、コンセプトも昨年の内容を踏襲しています。昨年と異なる点としては、攻撃者による攻撃シナリオを実際に起こった攻撃の内容を基に変更しています。また、多くの企業や組織の環境でも使用されているプロキシサーバの環境を想定した攻撃シナリオに変更し、各ログの分析を行ってもらうような構成に組み換えています。企業のネットワークにはプロキシが入っていることが多いので、この環境の方がよりリアルですよね。

このように、 外部からの侵入を受けた際のWindowsクライアントのイベントログ、Active Directory(AD)のインベントログおよびプロキシログの分析を三つあわせて実習することで、ログ調査の基礎を学べるようにしました。そのため、昨年は2時間半のプログラムでしたが、今年は5時間という倍の長さにして取り組める時間を増やしています。

――なるほど。プログラムの時間を倍にしてまで提供するということは、それだけ多くの被害が観測されているということにもなりますよね?

そうですね。そして、我々が日々分析の業務をしている中で強く感じることは「Windowsに関してはログに記録された情報や期間が不十分で、外部からの侵入の痕跡調査に必要なログが残っていないことが多い」ということです。Windowsの標準の設定状態のままで動かしていて、「侵入の痕跡を調査しよう」としても、記録されている情報が少ないため、侵入者の行動を特定することは困難です。

このプログラムの中でもっともお伝えしたいことの一つが、必要な情報(ログなど)が記録されない状態では十分な調査ができないという点です。調査に必要な情報を取得する手法の一つとして、ハンズオンではマイクロソフト社が提供するsysmonと監査ポリシーの設定でどのような情報が記録されるかを理解してもらい、調査を体験していただきます。

今回は無償でできるアプローチとして、sysmonと監査ポリシーの設定を用いた調査方法をお伝えします。有償にはなりますが、より高度なアプローチとしてはEDR(Endpoint Detection and Response)製品などを用いることでも対応が可能です。このハンズオンが、今後どのようにインシデント対応に取り組むかを見つめなおすきっかけになれば嬉しいです。

――そのために、今回は5時間かけてじっくりとやるということですね?

はい、そうです。昨年は2時間半しかなかったので、エッセンスをとにかく詰め込みました。もしその場では理解できなかったとしても、復習してくださいというスタンスで、資料などを充実させました。しかしアンケート結果などを見ると、時間が短い、もっと解説を聞きたかったという声もありました。我々の趣旨としては、その場で理解するということで終わらせず、復習して欲しいという側面もあったのですが、やはりその場で理解したいという要望も多かったので、その要望にお応えできればと5時間のじっくりコースにしてみました。

――また今回は、ADのイベントログ解析に、ツールを使うということのようですね?

そうなんです。今年はADのイベントログをある程度フィルタリングしてWebUIで見られる分析の補助ツールをJPCERT/CCが公開を予定しており、それを使ってみようかと思っています。そのツールは、どのユーザがどの端末、どのIPアドレスを使用しているかなどを直感的に確認することができるため、イベントログの調査の効率化や見易さなどが向上すると思います。

――このプログラムをどのような方に聞いてもらいたいですか?

企業などの現場で対応しているシステム管理者ですね。セキュリティのことはあまりわかっていないけれど、システム管理をしている、という人にぜひ来て欲しいです。grepが使えて、ログがなんとなく読めればシステム管理1年生でも大丈夫です。

多くのシステム管理者にとって、侵入痕跡の調査は日常的なイベントではないため、調査に必要な準備や知識を習得する機会は少ないと思います。今回のハンズオンを通じて、Windowsクライアントも含めたログ取得の重要性を確認いただき、ある程度の調査はご自身でできることを体験いただければと思います。

逆にセキュリティには興味があるけれど、自分ではシステムを管理していない、という人には少し難しい内容になってしまうかもしれません。

――最後に読者や参加者にメッセージをお願いします!

今回の演習を受けることで、標的型攻撃において攻撃者はどのような攻撃を行ってくるかの一連の流れがわかるとともに、その対策としてどのような調査のアプローチがあるかなど、侵入調査の準備と基本的な調査方法を把握できるようになります。生々しい攻撃をログで見られるというのはとてもよい経験で、一度体験しておくことで、社内セキュリティの検討において大きな違いが出ます。

日常業務で忙しいシステム管理者の方は、「マルウェアが社内侵入の足掛かりになっている」ということはご存知でも、具体的な攻撃についてはご存じない方もいらっしゃると思います。演習を受けたら「こんなに簡単に侵入されるんだ」ということもわかってもらえると思いますし、「これが自分の会社のログだったら……」って冷や汗が出ると思いますよ。

これがわからないと冷や汗すらかけませんから……、冷や汗がかけるのとかけないのとでは、大違いですよね(笑)。皆さまのご参加をお待ちしております。

●プログラム詳細

「H1 インシデント対応ハンズオン2017」
https://www.nic.ad.jp/iw2017/program/h1/
【CPE対象】(ISC)2が認定する情報セキュリティの国際資格であるCISSPのホルダーは、CISSP維持のための「CPEクレジット」を貯められます。

- 開催日時:2017年11月29日(水)9:30~15:45
- 会場:ヒューリックホール&カンファレンス(浅草橋) 3F Room0
- 料金:事前料金 13,000円/当日料金 20,000円
-講師
遠藤 拓也(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 分析センター)
高橋 渉(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 分析センター)

09:30 ~ 10:15
ハンズオンの概要
- トレーニングの概要
- 標的型攻撃に関する説明
- 侵入経路について
- 侵入後のネットワーク内部での攻撃パターンについて
- 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説

10:25 ~ 15:45 (途中で昼休みや休憩が入ります。)
ハンズオン
- ツールを使用したイベントログの抽出
- ログ(イベントログ(PowerShell含む)、Proxyサーバ)からのマルウェア感染等の調査
- Proxyログの調査
- 侵入端末の調査
- Active Directoryログの調査
- 簡易ツールを用いたイベントログの調査

15:35 ~ 15:45
まとめ&質疑応答

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

    米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

  2. 2017年8月25日 名和利男の目に映った光景

    2017年8月25日 名和利男の目に映った光景

  3. 超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

    超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

  4. 井之上PR社長 鈴木孝徳のセキュリティ事故発生時の記者会見「べからず集」

  5. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る

  6. 総務省の「自治体情報システム強靱性向上」、その成果と新たな課題

  7. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第2回「今求められるSOC、CSIRTの姿とは~世界の攻撃者をOMOTENASHIしないために~」について語る

  8. 最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]

  9. デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント

  10. ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×