Internet Week 2015 セキュリティセッション紹介第4回「インシデントに備えて～上手なログの扱い方～」について日本シーサート協議会の庄司朋隆氏が語る

11月17日から11月20日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2015 ～手を取り合って、垣根を越えて。～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/
今回のテーマは「手を取り合って、垣根を越えて。」

昨今は、DDoSやサイバー攻撃、脆弱性の発覚といったセキュリティ問題が数多く起こり、それらが複雑、巧妙化・広範囲化している。こうした状況に立ち向かっていくために、インターネット上のレイヤーを超え、そして業界やコミュニティをまたがり、あるいは世代もまたがって、認識や目的を共通化して事に当たらないとなかなか解決しないことが増加している。

今回のInternet Weekでは、一つ一つのプログラムの中に、そういうメッセージを込めたいと、このテーマを設定したとのことだ。

連載で、このInternet Week 2015のセッションのうち、情報セキュリティに関するセッションの見どころ・意義・背景などを、セッションコーディネーターに語ってもらう。

4回目となる今回は、11月19日夕方に行われるプログラム「インシデントに備えて～上手なログの扱い方～」について、日本シーサート協議会(NCA)の庄司朋隆氏に語っていただいた。

--

――「上手なログの扱い方」を企画した理由はなんですか？

近年、複雑かつ巧妙化したセキュリティインシデントを完全に防ぐことは出来ないと言われていますが、被害の早期発見や局所化は常に求められています。しかしながら、外部からの連絡があって初めて被害の発生に気付くことも多く、気付けたとしてもなかなか被害状況を把握できないことがあります。

まず出来ることとして、「インシデントの備えとしてログはきちんと保存しておこう」とよく言われます。サイバー空間では何が実際に起こっているかを把握するには、何事もログから読み解いていくしかありません。大事なことは、必要なログが保存されているかどうか、また単に取得して終わりではなく、取得したログが正しく活用できるかどうか、これが被害状況を最小限に食い止めるポイントとなってきます。

昨年「インシデント対応とデータ保全」と題して、インシデント対応の一般的なフローや適切なデータ保全についてご紹介しました。今回はそこから一歩踏み込んで、ログ取得の大切さはもとより、取得したログの活用方法についてご紹介したいと考えました。

――ログを正しく活用できることによって、被害範囲を限定することが可能になることがあるということですね。

はい、その通りです。

インシデント対応を行うCSIRTの設置を行う企業・組織が増えていますが、初動対応を誤ったり、事前活動が不十分な為に被害に気付けないこともありますし、インシデント対策の製品を導入しても正しく利用しなければ効果はありません。

こうしたときにログを適切に読みこなすスキルがあれば、さまざまなことにいち早く気づけます。

――プログラムの具体的な内容を教えて下さい？

まず初めに、ログの保管が十分ではないため原因の追及や被害範囲の確定が困難な事例を挙げ、ログを取得・保管することにより攻撃者の活動の痕跡を見つけ出す方法について、JPCERTの水野さんに語っていただきます。

その後、ログを取り扱った経験に基づき、困ったことなどを技術的な観点からお話しいただき、その上で、ログを活用するための準備として必要なポイントなどもお話しいただく予定です。

InternetWeekは非商用のイベントなので、特定の製品紹介を行うのではなく、考え方や指針となるような話にしたいと思っています。また、このプログラムは昨年2014年開催した「インシデント対応とデータ保全」との関連性を意識しましたので、昨年のアンケートの結果も参考に準備を進めています。

――このプログラムの対象者はどのような方ですか?

昨年のプログラム「インシデント対応とデータ保全」を聴講してくださった方はもちろんのこと、これからCSIRTを構築しようとしている組織や既存のCSIRTメンバー、特にログを取り扱う方、インシデントハンドリングに関わる方に聞いていただきたいです。

――最後に、参加者にメッセージをお願いします。

最近よく耳にする標的型攻撃ですが、なぜ気付きにくく大きな被害になるのでしょうか。以前の標的型ではない攻撃は、広範囲に同じ攻撃が繰り返し行われていたために攻撃手法を知る機会も多く、対策も迅速にされてきました。しかしそれに対して標的型攻撃のような攻撃は、攻撃手法を知る機会が少ない上、たとえ被害を受けたとしても、被害内容も含めて外部との共有が難しいのが実情です。

もちろん、すべてを共有するのは難しいです。しかし、被害が発生したり、標的型攻撃を受けた状況を手を取り合って、垣根を越えて共有することが出来れば、今後の攻撃に対する準備になります。

サイバー空間は、今が手を取り合う時だと思います。垣根を越える術や気持ちをもって、ぜひ会場に足を運んでいただきたいと思います。皆さまのご来場をお待ちしています。

●プログラム詳細

「T9：インシデントに備えて～上手なログの扱い方～」

- 開催日時:2015年11月19日(木)16:15～18:45
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/t9/

16:15～16:25
1) インシデントに備えて
正木健介(日本シーサート協議会)

16:25～17:05
2) ログを活用した標的型攻撃の早期発見と分析
水野哲也(一般社団法人JPCERTコーディネーションセンター)

17:15～17:55
3) 実対処から見えるログの取扱いにおける阻害要因(仮)
加治川剛(セコムトラストシステムズ株式会社)

17:55～18:35
4) インシデントレスポンスのためのログ活用準備術～勝敗は戦う前に決まっている？！～
林郁也(NTTコミュニケーションズ株式会社)

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。