非公開ユーザー
鉄・金属|社内情報システム(企画・計画・調達)|1000人以上
社内ネットワークからの不審通信発生事案
依頼した業務・支援内容について具体的に記載ください
IPAから関係会社を通じて社内ネットワーク上の特定PC端末から
標的型攻撃に利用されているIPアドレス宛に通信が行われているとの連絡が入り
所属するグループのCSIRTメンバーよりS&J社の紹介を得て依頼。
S&J社とNDAを急ぎ締結した上で当社、グループCSIRT、
ウィルス対策ソフトベンダーで初回の方針検討会議を実施。
ネットワーク構成とPC端末やサーバを含む機器構成を分析頂き以下のStepでの対応を決定。
Step1 現状調査(封じ込め箇所の特定)
Step2 封じ込め(安全宣言に向けた取り組み)
Step3 原因調査(今後の対策に向けた取り組み)
Step1ではウィルスの分析、資産管理ソフト、外部アクセス可能な接続点、
S&J社によるADなどのログを分析した結果、被害状況が判明。
Step2で安全宣言に向けた具体的な対応の指示をS&J社より受けて当社にて対応を実施。
これによりグループCSIRTをはじめ関係者各社に安全宣言を案内できた。
その後Step3で原因と考えられるものは全て念のための調査を行い
放置していると問題となる箇所も発見できたことで、
2024年に予定してたシステム基盤の更新を見直すことも出来た。
良いポイント
当社の情報システム部門はセキュリティ専任がおらず必要最小限の人員で業務を回しており、
今回のような事案が発生した場合には仮に当部門の社員が抱えている全ての業務を投げ出したとしても
短い期間に現状調査から封じ込め、原因調査からインシデントの総括迄対応できる状況ではない。
そのため、今ある我々の組織に緊急対策室ができるような建付けで動いてくれて、
且つ、セキュリティのプロフェッショナルとしての経験に裏付けされた対策やアドバイスをしてくれるS&J社は
非常に頼もしい存在であり、価値あるサービスが受けられた。
改善ポイント
インシデント発生の際は現状調査の前段階から公表することもあるようなので判断を迫られたが、
具体的な被害状況も判明していない段階で公表しても関係者を混乱させるだけだと思い困惑した。
どのような時に何を判断して公表するのか、当社の立場となって教えてもらえればと思った。
調査のためには当社の基盤担当エンジニアも調査のための対応で多くの時間を要した。
アカウントやパスワードなど必要な情報を与えたら必要なログの取得や対策なども含め、
対応してくれるエンジニアを派遣してくれると有り難いと感じた。
