ニュース
初めてのAPT攻撃にあわてないための秘伝の書、JPCERT/CCが一般にも公開
(2016/3/31 11:53)
日本国内の企業や組織を対象に、サイバーセキュリティにおけるAPT攻撃(「先進的で執拗な攻撃」「標的型攻撃」)を理解し、備えるためのガイド「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」が、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)により3月31日に公開された。
このガイドはこれまで非公開の文書として、JPCERT/CCの早期警戒情報受信登録企業や、日本シーサート協議会委員、その他の組織など、200社強の重要インフラ企業に個別に配布されていた。これに再編集を加えてウェブで一般公開したのが今回のガイドだ。
3月30日に開かれた報道関係者向けの事前説明会で、JPCERT/CCの佐藤祐輔氏(エンタープライズサポートグループリーダー)は、「初版を作成した当初は、攻撃方法を示唆することにつながるので非公開という判断だった。しかし、現在はサイバー攻撃が現実的に広がりをみせているので、より広く理解していただくために公開した」と、ウェブ公開の経緯を説明した。
初版は2013年7月に作成。DeltaRisk社による「Initial Procedures and Response Manual for Countering APT」をもとに、有識者による検討委員会で作成した。2015年3月には、マネジメント視点での記述や、対応手順に関するフローチャートなどを追加して第2版が作成された。JPCERT/CCの村上晃氏(エンタープライズサポートグループ部門長兼早期警戒グループ担当部門長)によると、「初版を作成する時に、当初は直訳でいいと考えていたが、有識者による検討委員会で『それでは意味が通じない』という意見が出て、意訳のような形になった」という。
すでに数多くあるAPTに関する資料との違いとして、佐藤氏は「攻撃手法や防御手法についての技術的な説明は含まない。それはIPAなどがすでに発表している専門文献や知見を参照してほしい」と説明する。そのかわりに、APTの全体像を示し、企業や組織がどのように備えて行動するかについて、準備と対応を体系的にまとめたガイドブックとしたという。
対象読者は、企業や組織のCSIRTやセキュリティチームなどで、特にAPT対応の経験が少ないところを想定している。「場合によっては経営の方にも読んでいただき、セキュリティリスクの許容度を社内で判断するためのツールとしてほしい」(村上氏)。
ガイドの構成は、第1章が、APTの定義や特徴などを解説する「APTの定義と活動モデル」。第2章が、APTに備えるための体制や計画などについて解説する「APTのための事前準備」。第3章が、攻撃への対応の考えと手順、注意点などを解説する「インシデント対応プロセス」となっている。
また、付録として、事前準備やインシデント対応のチェックリストと、インシデント対応のフローチャートが設けられている。「初版の付録ではチェックリストのみで、分かりづらいという声があったので第2版からフローチャートを付けた」(村上氏)。
事前説明会では佐藤氏が、ガイドの内容についても解説した。第1章「APTの定義と活動モデル」では、ガイドでのAPTの定義を説明するとともに、APTの活動モデルとして従来の7段階では技術的すぎるとして「準備」「潜入」「横断的侵害」「活動」の4段階にまとめたと説明した。
さらに、APTだと判断するための材料である「インディケータ」を重要な情報として紹介。インディケータをJPCERT/CCや他組織のCSIRTとの間で交換・共有し、これをもとにログを確認することが重要だとした。
第2章「APTのための事前準備」については、事前段階のポイントとして「ベースラインの確保」「セキュリティ訓練の実施」「トレーニングおよび演習」が挙げられた。その中で、インディケータを活用したインシデント対応や、ポリシーやガイドラインの整備、CSIRTの整備なども語られた。
中でも、ログの保持については巻末にも付録文書「ログ保管に関する分析レポート」が付けられている。ガイドの内容として、保持を検討すべきログや、ログの保持についての留意点、主要なログの推奨される保存期間などが説明された。
第3章「インシデント対応プロセス」については、初動対応とそこでやるべきこと・やってはいけないことや、JPCERT/CCやパートナーなどからの通知のコミュニケーション方法、データ保全に関する留意点、外部チームの支援導入のためのログ保全、リスク管理やセキュリティの指針を事前に用意すること、リスク許容度に基づく措置の判断、外部支援の導入に関する考慮などが紹介された。