Recruit-CSIRTが教える「はやい、やすい、うまい」インシデント対応のコツ

「はやく」の実現

インシデントが発生した際に一番重要なことは被害の拡大を確実に抑えることです。そのために、迅速に動く必要があります。当社は大小さまざまなグループ会社が存在し、現場にいるITの専門家から連絡が来る場合もあれば、内部統制の方から連絡をいただく場合もあります。

ITの専門家が現場にいる場合、インシデントの対応依頼の内容もしっかりと整理されて報告がきます。その場合は現場のサポート役に回ります。逆に要領を得ないような報告が来た場合は、現場に入って状況の整理から支援していきます。メールではなく電話、電話よりも直接会話のほうが、情報量が豊富です。連絡内容から被害状況が不明な場合は直ちに現地に行くように提案します。顔が見える関係を作るのが「はやく」を実現するための近道となります。

大きなインシデントであれ小さなインシデントであれ、被害状況をクリアにするまでは全力で対応していきます。

「やすく」の実現のために、各種ツールを有効活用

インシデント対応は、さまざまな技術に対する知見が総合的に問われます。常に最新の技術を身につけるなど、普段から技術的な「筋力」をつけておくことが必要です。そして、Recruit-CSIRTでは、インシデント対応時に技術的な支援に集中できるよう、コミュニケーションのルールを定めたり、ツールを活用したりすることで、運用上のオーバーヘッドを減らすようにしています。

すべてのインシデントにはケース番号を振り、Slackで個別のチャンネルを作成してそこで会話するようにします。内部の議論を行うと、複数のメールでのスレッドの分岐、見落とし、取り違えが発生するためコミュニケーションコストが増大するという問題がありました。複数の分析が並行して行われるなど、必要に応じて、同じケース番号でも複数のチャンネルを作る場合もあります。

一方、Slackは表形式のデータのやりとりには不向きであるため、Google Spreadsheetも活用しています。タスクの整理、アサイン、作業進捗の状況など、チャットで追いかけることが困難な状態の情報をまとめるようにしています。

さらには、これらツールの利用をできるだけ自動化することで、対応工数を削減しています。例えばJIRAへのケースの登録、発番からチャンネルの作成まではコマンドで自動化されています。また、Slackの情報は常にJIRAへ連携され、SMGへ常に最新のインシデント対応状況を共有できるようにしています。JIRAはチケットシステムとしても利用しており、各事業の窓口であるSMGだけでなくセキュリティ管掌の役員も参照することができます。

ケースをクローズする際も、Slackのログ・添付ファイルをケース番号別に整理してアーカイブ。事後の参照も容易にしています。

このように、状況に応じて最適なツールを使うことで余計な作業によるオーバーヘッドを減らすよう心がけています。もちろんすべてが電子化されているわけではなく、Face to Faceでのミーティングや、時にはホワイトボードを活用するようなことも重要であると考えています。

「うまく」の実現

インシデントをクローズする際に「Lessons Learned」というプロセスを取り入れています。これは、SANSのSEC504でインシデント対応におけるもっとも重要なプロセスと位置付けられているものです。Recruit-CSIRTでは、インシデントの対応中に上がった懸念点と課題を抽出し、それに対して今後のインシデント対応の改善のために役に立てるものと位置付けています。

こうして整理された課題は、中期的な改善テーマとして設定され、インシデントが発生していない時などにメンバーの一人ひとりが改善するよう動いています。

例えば、意図せずGithubへデータをアップロードしてしまうケースが発生した際に、後追いでの調査対応は困難であるため、監視を自動化するツールを作成しました。

また、サーバへの侵入が起きた際に侵入されたサーバを経由して横へのシステム侵入が行われているかという調査も必要となるのですが、同時に複数のサーバを調査する必要があります。こういうケースでは一時調査のためのログの自動取得ツールを作り、対応スピードを向上しました。こちらのツールについては、過去にブログで詳細を説明していますので、サーバのインシデント対応が必要な際はぜひ使ってみてください。

一度起きたインシデントはできれば、二度と起きないように。再発防止が難しい場合は検知もしくは対応をより早く行えるように改善を繰り返すことで、CSIRTとしてもよりよいインシデント対応を実現するようにしています。また、自分たちだけで改善が難しい場合、事業部門を巻き込んだ振り返り会をお願いしたりすることもあります。

そんな地道な改善を繰り返すことで、さらに強力な、信頼と感謝を勝ち取れるCSIRTとして進化していきたいと考えています。

私たちの取り組みや知見が、皆さまにとって少しでも参考になるようでしたら幸いです。

著者プロフィール

六宮 智悟（ロクミヤ チサト）

リクルートテクノロジーズ SOCアナリストユニットリーダー
2003年にセキュリティベンダーに入社。製品サポートを経て、2006年以降は国内のユーザ企業向けインシデント対応を主務として数十社を技術支援。新規製品立ち上げの技術支援やマルウェア解析なども担当。2013年には自社向けCSIRTを立ち上げ技術統括責任者を兼務。2017年9月に転職して現在に至る。Recruit-CISRTメンバーでマルウェア分析やマルウェアの脅威動向調査などを担当。

著者プロフィール

猪野 裕司（イノ ユウジ）

シニアセキュリティエンジニア。リクルートテクノロジーズ SOC インシデントレスポンスチームリーダー Recruit-CISRT 副代表
2001年システム会社へ入社、海外プロダクト事業の立ち上げ、ベンチャーアライアンス推進などを担当。セキュリティの趣味を仕事にするべく、インシデントとの出会いを求めて、2016年2月リクルートテクノロジーズへ入社して現在に至る。