SlideShare una empresa de Scribd logo

CSIRT体験記~初めての長期休暇編~

Descargar como PPTX, PDF
eg819
eg819

20180214 総関西サイバーセキュリティLT大会(第7回)

Internet
1 de 17
【 第7回 総関西サイバーセキュリティLT大会 】 CSIRT体験記 ~初めての長期休暇編~ 神戸デジタル・ラボ 飯島憂
自己紹介 2 飯島 憂 所属:神戸デジタル・ラボ KDL-SIRT 趣味:バイク(ninja 1000)でキャンプツーリング Twitter:Rikunchuu
KDL-SIRT 発足から3年目のCSIRTで、メンバーの大半が兼任 8名:専任1:情シス3:セキュリティ事業部4 3 CSIRT 専任 情報システムチーム セキュリティ ソリューション 事業部 責任者
CSIRTを担当し始めて数か月僕 リフレッシュ休暇という1年のどこか好きな1週間休める制度があるが、 色々と業務が重なり取得できず年末に(年内に取得しないと消滅)。 年末ぎりぎりに取得することに。 4 休みの間に インシデント起きたら どうしよう 休み消滅するしもう年末に取得するしかない! 今年はもうインシデントも起こらんやろ… せや、年末休暇とくっつけて 16日くらい休んだろ!
CSIRTを担当し始めて数か月僕 リフレッシュ休暇という1年のどこか好きな1週間休める制度があるが、 色々と業務が重なり取得できず年末に(年内に取得しないと消滅)。 年末ぎりぎりに取得することに。 5 休みの間に インシデント起きたら どうしよう 休み消滅するしもう年末に取得するしかない! 今年はもうインシデントも起こらんやろ… せや、年末休暇とくっつけて 16日くらい休んだろ!
CSIRTになって初めての長期休暇でインシデント キャンプ中、何気なくSlackを確認してみると社員から あるサイトを閲覧するとアンチウイルスソフトが反応 すると報告が。休暇中にも対応したが、結局対応が完 了するまでに2週間強かかってしまう 6 CSIRTになって初めての長期休暇は 死んだ目で焚火を見つめるキャンプを体験できました!
何も準備してなかったわけではないんです 7 インシデントへの対応プロセスや役割は事前に準備していた
何も準備してなかったわけではないんです 8
何も準備してなかったわけではないんです 9 インシデントがどうか 判断するための情報収集する フェーズの担当者(僕です) が不在なためフローが進まず
肝心なプロセスまでたどり着けず… 10
肝心なプロセスまでたどり着けず… 11
圧倒的準備不足 作業の属人化による対応遅延 各フローの作業をドキュメント化 • セキュリティアラートの判断基準 • 各種ログ確認手順 CSIRTメンバーの誰かができるように 12
圧倒的準備不足2 インシデントの対応スピードを決めていなかった なんとなく急いで対応はダメ 年末年始を挟んだこともあり、事象を検知してから初期対応完了まで 約2週間かかってしまった。 ⇒インシデントレベルと対応目標を定める 13
インシデントは準備が超重要 NIST(アメリカ国立標準技術研究所) インシデント対応ライフサイクル SP 800-61 Computer Security Incident Handling Guide http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf 14
インシデントが発生する前から戦いは始まっている インシデントは検知してからが本番 ですが、やってみないとわからないこともたくさんある。 それぞれの組織ができる限りのセキュリティ対策を行っていると思い ますが、準備したら、訓練も。机上訓練でもやっているかやっていな いかで大きな差になります。 15 訓練を行い擬似的にサイクルを回す
まとめ 休暇中にインシデントが発生すると、準備の大事さを痛感します。 インシデントレスポンスは準備から始まっている! •事前に準備できることはインシデントが発生する前に 準備すべきことは先人の知恵を借りる •インシデント対応訓練を行い、ルールは現実的か、 考慮漏れが無いか確認! 16
もっと細かい話はこちらで!(宣伝) 情シス Café in Kobe:https://ismg-cafe-kobe.doorkeeper.jp/ 情シス、セキュリティ担当、CSIRTでカジュアルに情報共有! 17

Recomendados

CSIRT立ち上げ時の心得
CSIRT立ち上げ時の心得CSIRT立ち上げ時の心得
CSIRT立ち上げ時の心得eg819
 
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D eventCareer - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D eventMiya Kohno
 
20130309 web sig_security
20130309 web sig_security20130309 web sig_security
20130309 web sig_securityloftwork
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)Masanori KAMAYAMA
 
座談会(趣旨説明資料) 20160417
座談会(趣旨説明資料) 20160417座談会(趣旨説明資料) 20160417
座談会(趣旨説明資料) 20160417知礼 八子
 
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)Study Group by SciencePark Corp.
 
20160526 kintone hive Vol.3 Tokyo
20160526 kintone hive Vol.3 Tokyo20160526 kintone hive Vol.3 Tokyo
20160526 kintone hive Vol.3 TokyoR3 institute
 

Recomendados

CSIRT立ち上げ時の心得
CSIRT立ち上げ時の心得CSIRT立ち上げ時の心得
CSIRT立ち上げ時の心得eg819
 
Career - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D eventCareer - design, adaption and diversity - for EMC I&D event
Career - design, adaption and diversity - for EMC I&D eventMiya Kohno
 
20130309 web sig_security
20130309 web sig_security20130309 web sig_security
20130309 web sig_securityloftwork
 
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」Sen Ueno
 
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)Masanori KAMAYAMA
 
座談会(趣旨説明資料) 20160417
座談会(趣旨説明資料) 20160417座談会(趣旨説明資料) 20160417
座談会(趣旨説明資料) 20160417知礼 八子
 
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)Study Group by SciencePark Corp.
 
20160526 kintone hive Vol.3 Tokyo
20160526 kintone hive Vol.3 Tokyo20160526 kintone hive Vol.3 Tokyo
20160526 kintone hive Vol.3 TokyoR3 institute
 
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜Masanori KAMAYAMA
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)Masanori KAMAYAMA
 
ランサムウェアのおはなし
ランサムウェアのおはなしランサムウェアのおはなし
ランサムウェアのおはなしShiojiri Ohhara
 
検証、SEAndroid
検証、SEAndroid検証、SEAndroid
検証、SEAndroidHiromu Yakura
 
Easy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOceanEasy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOceanAtomu Hidaka
 
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理Takayuki Ushida
 
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで竹内 幸次
 
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?Masanori KAMAYAMA
 

Más contenido relacionado

La actualidad más candente

緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜Masanori KAMAYAMA
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)Masanori KAMAYAMA
 
ランサムウェアのおはなし
ランサムウェアのおはなしランサムウェアのおはなし
ランサムウェアのおはなしShiojiri Ohhara
 
Easy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOceanEasy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOceanAtomu Hidaka
 
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理Takayuki Ushida
 
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで竹内 幸次
 
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?Masanori KAMAYAMA
 

La actualidad más candente (8)

緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
 
ランサムウェアのおはなし
ランサムウェアのおはなしランサムウェアのおはなし
ランサムウェアのおはなし
 
検証、SEAndroid
検証、SEAndroid検証、SEAndroid
検証、SEAndroid
 
Easy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOceanEasy-to-use IoT system created with Azure and EnOcean
Easy-to-use IoT system created with Azure and EnOcean
 
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
 
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
横浜 講演 中小企業のIT活用2017~最新Web活用と情報セキュリティ強化からIoT活用の実際まで
 
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
サイバーセキュリティアナリストやペンテスターに人気の入門資格って?
 

CSIRT体験記~初めての長期休暇編~

Notas del editor

  1. CSIRTの活動での経験、今回は(特にシリーズでも何でもないですが)初めての長期休暇編をお届けします
  2. 基本的に1人で活動し、インシデント対応や脆弱性対応など大きなイベントは情シス・セキュリティチームに支援してもらっています。 また1人では悩み過ぎてはげるので、毎週ミーティングで一緒に方向性を考えてもらっています。
  3. 弊社にはリフレッシュ休暇という1年のどこか好きな1週間休める制度があるんですが、CSIRTなりたてで、なんとなく長期休暇をとれずにずるずる年末になってしまいました。 休む権限が消滅するのはあり得ないので、年末にとることに。 結局インシデントも発生せんだろうということで年末年始とくっつけてめちゃくちゃ休みを取得してウキウキでキャンプに行ったりして楽しい休暇をすごしていました
  4. 初めての長期休暇は死んだ目で焚火を見つめるキャンプを体験できました!
  5. ちゃんと、インシデント対応フローなども作成していました
  6. 社員からの報告を受けたり、セキュリティ製品のアラートを監視するSOC的な機能もCSIRTには実装していたんですが、結局僕が1人で担当していて、フローの一番最初のところで止まってしまいました
  7. 検知から対応完了まで細かく対応フローを事前に作っていたんですが、休暇中の自分がボトルネックとなり
  8. SOC的な作業の部分を、自分1人でやっていたのでちゃんとしたドキュメントを用意していなかったり、他のメンバーも兼任で普段は違う業務をしているのできちんと共有していませんでした。
  9. セキュリティイベント(インシデントとなりうる出来事)のSeverity Levelのようなものをインシデント対応マニュアルに記載しました 休みの日はどうするとか、その時の対応できる人依存にすると色々不幸になるので、チームで対応レベル感を事前に設定することにしました。
  10. 僕も失敗を反省して色々改善はしていますが、先ほど紹介したことは、インシデント発生しなくても準備することができたなと思います。 これはNISTのインシデント対応ライフサイクルなんですが、まず検知や調査よりも前に「準備」というフェーズが書いてあります。 こういう状況になったら誰がどうするか、といった事前に考えられることは考えておいて、インシデント時にインシデントを収束することだけに集中できるようにしておくことが大事です 事前に準備すべきことに関しては、NISTをはじめ様々な団体がCSIRTに関する資料を公開してくれているので、先人の知恵を借りましょう
  11. 色々と準備しても、やっぱりやってみないとわからないことはたくさんあると思います。 そこでインシデント対応訓練を実施して、このライフサイクルを擬似的に回して、準備の質を上げるのがおすすめです。 机上訓練でもいいので、やっていると全然違うと思います。
  12. これで安心してキャンプに行くことができます
  13. 実際どんなインシデントで対応するときにこまったことなど どんな資料が参考になるかなども!