JPCERT/CC、APT攻撃の対策ガイドを公開 - そのポイントは?

JPCERT コーディネーションセンターエンタープライズサポートグループリーダー佐藤祐輔氏

JPCERT コーディネーションセンター(JPCERT/CC)は3月31日、「高度サイバー攻撃(APT)への備えと対応ガイド～企業や組織に薦める一連のプロセスについて」をWebサイトで公開した。

同ガイドはこれまで非公開としたうえで、 JPCERT/CCの早期警戒情報受信登録企業、日本シーサート協議会会員など、限定して公開されていたが、今回Web公開版として一般公開された。

エンタープライズサポートグループリーダーの佐藤祐輔氏は、同ガイドが一般公開された理由について、「初版を作成した当時は、ガイドを一般公開すると、攻撃者に防御策を知らせてしまうことになるため、非公開とした。しかし、昨今はサイバー攻撃が広がっており、より広く国内の企業組織にサイバー攻撃への備えを普及するため、Web公開版を作成した」と語った。

佐藤氏によると、数多くある標的型攻撃に関する資料との違いは、攻撃手法や防御手法の技術的説明は一切行っておらず、高度サイバー攻撃(APT)の全体像を整理しつつ、攻撃に対応するために企業・組織がどのように備えて行動すべきかを体系的にまとめている点にあるという。

「高度サイバー攻撃(APT)への備えと対応ガイド」におけるAPTの定義

同ガイドのポイントは「脅威を理解する」「リスク評価とリスク許容度の決定」「組織としての対応方針・手順・体制・準備」「情報共有と連携」、主な対象は企業・組織のCSIRT(Computer Security Incident Response Team)やセキュリティチームとなる。

同ガイドは、企業や組織がJPCERT/CCのような組織から通知を受けた時点から、インシデント対応チームが侵入に対応するまで、APTに対応する際の重要なポイントを順に解説する流れとなっている。具体的には、「APTの定義と活動モデル」「APT対応のための事前準備」「インシデント対応プロセス」の3部から構成されている。

第1章「APTの定義と活動モデル」のポイント

同ガイドでは、APTの活動には「攻撃者」「標的」「目的」の3つの要素が必ず含まれるとして、こうした活動を4段階のアプローチによりモデルを示している。APTの活動モデルとして有名なLockheed MartinのKill Chainは7段階のモデルだが、それでは細かすぎるので、同ガイドでは4段階としたという。

佐藤氏は、APTに対する効果的なインシデント対応計画において重要な要素として、インディケータ(APTの可能性がある攻撃または攻撃の準備活動を選別するためのデータまたは情報)」を挙げた。インディケータにより、攻撃者がたどる経路について洞察を得ることができ、セキュリティチームは早期にAPTを阻止できる可能性が高まるという。

インディケータの種類　資料:高度サイバー攻撃(APT)への備えと対応ガイド

第2章「APTのための事前準備」のポイント

国立標準技術研究所(NIST)が発行する「コンピュータセキュリティ・インシデント対応ガイド」では、インシデントの対応プロセスを「準備」「検知および分析」「封じ込めおよび根絶」「インシデント後の活動」の4段階に分類しているが、JPCERT/CCのガイドでは準備・検知分析・封じ込めについて解説している。

準備段階のポイントとしては「ベースラインの確保(リスク低減措置<攻撃対象領域を縮小する管理策.を実施する)」「セキュリティ訓練の実施(セキュリティチームおよび従業員に対し、脅威への理解を深める)」「トレーニングおよび演習(セキュリティチームのメンバが、最新のツール・脅威に精通しているようにする)」が挙げられている。

適切にインシデント対応を行うには、セキュリティ管理策、ネットワークの監視および管理・運用に対し、要員、プロセス、技術に適用できるようなベースラインを整備することが重要となる。

そして、インディケータを受け取った時は、それが侵入を発見するために詳細かどうかを判断する必要がある。もし十分でない場合は、外部組織などと情報を共有して、判断に必要な追加情報を得ることが重要になるという。

また、APTの活動が行われた場所を正確に特定するためにログが有効だとして、その保持についての留意点や種類が紹介されている。

ログの保持における留意点として、「長期間保持する」「すべてのログおよびセキュリティシステムのタイムスタンプを協定世界時(UTC)で構築する」「ログを一元的に集約する」「ログ保存ポリシーについて、ベストプラクティスなどを基に検討すべき」が挙げられている。

インディケータを活用したインシデント対応手順の切り分け資料:高度サイバー攻撃(APT)への備えと対応ガイド

第3章「インシデント対応プロセス」のポイント

佐藤氏は、「企業や組織は、自社のネットワークでAPTが活動していることを外部からの情報によりわかることが多い。そのため、ＡＰＴに関する通知が本物であるかどうかを検証する体制を整備しておく必要がある」と、インシデント対応において通知を検証する体制の重要性を指摘した。

通知に関する留意点資料:高度サイバー攻撃(APT)への備えと対応ガイド

APT攻撃者に関する通知を受けたら、すぐにログおよび各種データを保護し、インシデント対応チームが活動するための準備を整えるべきだという。保存が必要なログ・各種データとしては、標的型攻撃メール、SIEMデータ、タイムスタンプ、インシデント対応記録、法的に利用可能な(法的紛争・訴訟に際して利用可能な)証拠が挙げられている。

また、企業・組織は、APTのネットワーク上での活動を知った時点で、どのレベルの措置をとるかを決めるため、事前に用意しておいたリスク管理およびセキュリティ指針をもとに検討する必要がある。同ガイドでは、リスク許容度に基づいた対応の手順を紹介している。

リスク許容度に応じた対応手順資料:高度サイバー攻撃(APT)への備えと対応ガイド

インシデントの対応においては、外部からの支援を得るという選択肢もある。外部のインシデント対応チームを選ぶ際の留意事項としては「レポートの充実度とタイミング」「外部とのパートナー」「対応時間」「身元保証」「業界での経験」「監視の容易さ」が挙げられている。

インシデント対応をアウトソーシングする際の優位事項資料:高度サイバー攻撃(APT)への備えと対応ガイド

そのほか、同ガイドには、「事前準備のために利用するチェックリスト」や「インシデント対応フロー及びチェックリスト」が付録として収録されているので、参考になるだろう。