ニュース

初めてのAPT攻撃にあわてないための秘伝の書、JPCERT/CCが一般にも公開

 日本国内の企業や組織を対象に、サイバーセキュリティにおけるAPT攻撃(「先進的で執拗な攻撃」「標的型攻撃」)を理解し、備えるためのガイド「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」が、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)により3月31日に公開された。

 このガイドはこれまで非公開の文書として、JPCERT/CCの早期警戒情報受信登録企業や、日本シーサート協議会委員、その他の組織など、200社強の重要インフラ企業に個別に配布されていた。これに再編集を加えてウェブで一般公開したのが今回のガイドだ。

 3月30日に開かれた報道関係者向けの事前説明会で、JPCERT/CCの佐藤祐輔氏(エンタープライズサポートグループリーダー)は、「初版を作成した当初は、攻撃方法を示唆することにつながるので非公開という判断だった。しかし、現在はサイバー攻撃が現実的に広がりをみせているので、より広く理解していただくために公開した」と、ウェブ公開の経緯を説明した。

 初版は2013年7月に作成。DeltaRisk社による「Initial Procedures and Response Manual for Countering APT」をもとに、有識者による検討委員会で作成した。2015年3月には、マネジメント視点での記述や、対応手順に関するフローチャートなどを追加して第2版が作成された。JPCERT/CCの村上晃氏(エンタープライズサポートグループ部門長兼早期警戒グループ担当部門長)によると、「初版を作成する時に、当初は直訳でいいと考えていたが、有識者による検討委員会で『それでは意味が通じない』という意見が出て、意訳のような形になった」という。

JPCERT/CCの佐藤祐輔氏(エンタープライズサポートグループリーダー)
JPCERT/CCの村上晃氏(エンタープライズサポートグループ部門長兼早期警戒グループ担当部門長)

 すでに数多くあるAPTに関する資料との違いとして、佐藤氏は「攻撃手法や防御手法についての技術的な説明は含まない。それはIPAなどがすでに発表している専門文献や知見を参照してほしい」と説明する。そのかわりに、APTの全体像を示し、企業や組織がどのように備えて行動するかについて、準備と対応を体系的にまとめたガイドブックとしたという。

 対象読者は、企業や組織のCSIRTやセキュリティチームなどで、特にAPT対応の経験が少ないところを想定している。「場合によっては経営の方にも読んでいただき、セキュリティリスクの許容度を社内で判断するためのツールとしてほしい」(村上氏)。

 ガイドの構成は、第1章が、APTの定義や特徴などを解説する「APTの定義と活動モデル」。第2章が、APTに備えるための体制や計画などについて解説する「APTのための事前準備」。第3章が、攻撃への対応の考えと手順、注意点などを解説する「インシデント対応プロセス」となっている。

 また、付録として、事前準備やインシデント対応のチェックリストと、インシデント対応のフローチャートが設けられている。「初版の付録ではチェックリストのみで、分かりづらいという声があったので第2版からフローチャートを付けた」(村上氏)。

作成の経緯。非公開で配布されていた文書を再編集してウェブで公開
特徴。技術的な説明ではなく、準備と対応を体系的にまとめたガイド
巻末に事前準備やインシデント対応のためのチェックリストやフローチャートが設けられている

 事前説明会では佐藤氏が、ガイドの内容についても解説した。第1章「APTの定義と活動モデル」では、ガイドでのAPTの定義を説明するとともに、APTの活動モデルとして従来の7段階では技術的すぎるとして「準備」「潜入」「横断的侵害」「活動」の4段階にまとめたと説明した。

 さらに、APTだと判断するための材料である「インディケータ」を重要な情報として紹介。インディケータをJPCERT/CCや他組織のCSIRTとの間で交換・共有し、これをもとにログを確認することが重要だとした。

APTの活動モデルを4段階で定義
APTだと判断するための「インディケータ」を交換・共有してログを確認することが重要

 第2章「APTのための事前準備」については、事前段階のポイントとして「ベースラインの確保」「セキュリティ訓練の実施」「トレーニングおよび演習」が挙げられた。その中で、インディケータを活用したインシデント対応や、ポリシーやガイドラインの整備、CSIRTの整備なども語られた。

 中でも、ログの保持については巻末にも付録文書「ログ保管に関する分析レポート」が付けられている。ガイドの内容として、保持を検討すべきログや、ログの保持についての留意点、主要なログの推奨される保存期間などが説明された。

事前段階のポイント:ベースラインの確保、セキュリティ訓練の実施、トレーニングおよび演習
保持を検討すべきログ
ログ保持の留意点:長期間保持、UTCで記録、一元的に集約、ログ保存ポリシーの検討
主要なログの推奨される保存期間(先進的なプラクティスを持つ企業へのインタビュー結果より)

 第3章「インシデント対応プロセス」については、初動対応とそこでやるべきこと・やってはいけないことや、JPCERT/CCやパートナーなどからの通知のコミュニケーション方法、データ保全に関する留意点、外部チームの支援導入のためのログ保全、リスク管理やセキュリティの指針を事前に用意すること、リスク許容度に基づく措置の判断、外部支援の導入に関する考慮などが紹介された。

APTの検知と初期ステップ
データ保全の留意点
リスク許容度に基づく措置
外部支援の導入に関する考慮

高橋 正和