初動が重要、インシデント対応のトリアージとは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月11日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・システムダウンには誤作動以外にどのような要因が?
・インシデント発生、セキュリティ担当者がすべきこと
今回の解説ニュース
県や市のネットワークに障害が発生し、一部のシステムが利用できない状態になったとのことです。セキュリティ3要素の一つである可用性が損なわれる原因や、インシデント対応で気を付けるべきポイントについて説明します。
今回のインシデントは、県や市のWebサーバが閲覧できない、メールの送受信ができない状態が発生したとのことです。原因として、サーバー内の設定情報が一部壊れたことにより、クラウドの誤動作によるシステムダウンが発生したことが挙げられています。なお、現在システムは復旧しており、各種ログを解析したところ、外部から攻撃された痕跡は確認されていないとのことです。
今後、原因の本格究明を行い、再発防止策を講じると発表されています。
システムダウンには誤作動以外にどのような要因が?
システムダウンなど可用性を損なう原因として、サイバー攻撃やマルウェア感染などが挙げられます。インシデントの詳細については発表されていないので、あくまでも一般論として説明します。
まず、「可用性」とは、セキュリティ3要素の1つで、権限を持った人が情報資産を必要なときに使用できることです。サイバー攻撃など外的要因だけでなく、設定ミスなど内的要因でも、システムへアクセスできなくなるなど、可用性が損なわれるインシデントは発生する可能性があります。可用性を損なうサイバー攻撃として「高負荷攻撃」と「脆弱性攻撃」が挙げられます。
高負荷攻撃
DDoS攻撃などに代表される量的な攻撃です。システムの許容範囲以上の通信や処理を発生させて、CPUやメモリ、ネットワーク帯域などに高負荷な状態を発生させ、通常のアクセスができない状態になります。
脆弱性攻撃
システムに残された脆弱性をついた攻撃です。攻撃者にとって最大の目的はシステムへの侵入です。しかし、脆弱性の種類や攻撃のされ方によっては、脆弱性をつかれたプログラムが誤動作することで、システムダウンへつながる可能性があります。
また、可能性を損なうマルウェア感染として「ランサムウェア」への感染が挙げられます。ランサムウェアに感染すると、システムに保存されたファイルが暗号化されてしまいます。ファイルが暗号化されてしまうと、システムが読めなくなってしまいますので、正常に動作することができなくなる可能性があります。
その他のトピック
インシデント発生、セキュリティ担当者がすべきこと(全文はこちら)