大学でのCSIRT設置の背景
背景にあるのは、文科省の「教育情報セキュリティポリシーに関するガイドライン」からの流れではないでしょうか。
各大学のCSIRT設置状況
- 国公立はほぼ100%の設置率となっている
- 私立大学は、参加者に対する(私の)調査では設置が60%といったところ
CSIRTを設置していないと
- 日頃の情報収集がされない
- インシデントが上がってこない
- インシデント発生時の初動で出遅れる(事態が悪化し、他の組織に迷惑を掛ける)
- 責任の所在があいまい
とりいそぎ自分の大学で行おうと思ったこと
- 情報窓口の作成、周知(Webサイト、電話など)
- ウイルスバスターの検知ログの確認、代表的なマルウェアの検出時の自動アラートメール設定
- 大学規定等の改定で組織を整備
- 緊急時の対応手順(パターン)の準備もする
研修のメモ書き
BlackTech(PLEAD)とは
2018年に不審メール。拡張子はexeのほかpngやlogがあった。アンチウイルスではほとんど検知がされない。
学術系CSIRT
学術系CSIRTに加入すれば最新の情報が手に入る?
ログは1年間ほど取っておくべき
アンチウイルスの検知ログはマルウェアを検知していないか、定期的に確認すること。
- ごく少数の教員や事務職員に対して攻撃メールが送られている。大量にばらまかれず、検知されにくい。
- 実在の関係者を騙る。国際学会を騙り研究者を狙った攻撃メールを出す。
- 開封率よりも報告率を重視するべき。そして、報告体制の整備と周知が重要になる
文科省にはM-CYMAT(エムサイマット)がある
- 初期対応(初動)についてアドバイスをくれたりする
- 侵害端末調査もしてくれる
IPA
IPAのPCバッチpcやサーバ上で実行することで、検出することも可能
ThreatSonar、実行したpct.上で検出、情報収集する
CSIRT
CSIRTは情報セキュリティに関する管理の一元化、統一窓口を担当する。また、外部の機関とインシデント対応について信頼関係を構築、情報連携する
- インシデント発生前から対応体制を構築し、発生後に被害を最小限にする
- 事故前提の意識の下、被害を最小限で食い止めることに着眼し活動する
- 窓口は大学の公式サイトにも提供すること
CSIRT⇔経営層の連携はよくできていても、末端⇔CSIRTの連携が弱く情報を吸い上げられなかったりする。情報収集、分析能力が重要となってくる。
サプライチェーン攻撃
リスクアセスメントや対策はPDCAを回して継続的に改善する必要がある。
標的型攻撃
- 感染経路
標的型メール(添付ファイルやリンク)、Webサイトでのダウンロード、不正コードの含まれるソフトウェアの配布 - 水飲み場型攻撃
組織のよく見るサイトにマルウェアを仕組む。 - コードインジェクション
インシデントマネジメント
ウイルスバスターでは、代表的なマルウェアの検知名をセットして、検知されたらアラートメールが飛ぶように設定可能。大学組織であれば、PLEADが出たら要注意。インシデント対応手順書の整備に必要な事項の確認と整備。
封じ込め(初動対応での応急措置)、ログを確認する(ログ分析)が必要。
- チェックするログはファイアウォール系ではIPアドレスしかなく、情報が少ない
- ネットワーク系(メールサーバ、プロキシサーバ、Webサーバ、DNSサーバ)は情報がある
- プロキシサーバ、DNSサーバはLinux系のログを確認することになる
- Windowsでは、evtxという拡張子
- 古いログは、容量を過ぎると、削除される
- Linuxはsyslogでログの自動送信、自動ローテーション
- Windows リモート管理、イベントログの自動アーカイブ
- セキュリティイベントログは量が多いので、1日ではみ出してしまうことがある
以上、メモ書きなので、正確ではないかも。
コメント
[…] た。参加型の研修でして、応用編より演習が難しい、ガチのやつです。文部科学省の大学等CSIRT研修・基礎編に参加してきました文部科学省の大学等CSIRT研修・応用編に参加してきました […]