未知の攻撃による改ざんも、瞬間検知・瞬間復旧

会員登録

ログイン

会員サービスメニュー

WebARGUS(ウェブアルゴス)

ウェブサイト護身術

このコーナーでは、ウェブサイトをとりまく最近のセキュリティリスクや、サイバー攻撃から守るための基本など、ウェブサイトのセキュリティにまつわる色々な情報を、記事形式でご紹介していきます。

第2回 ウェブサイト改ざん“されてしまった”に備える!

巧妙かつ気づきにくい複雑な手口でウェブサイトを次々と襲うサイバー攻撃。最新の防御システムを導入しているにも関わらず社内のサーバに侵入されてしまったら、いったいどうすればよいのでしょうか?
第2回は、万が一セキュリティの問題が発生した時にその原因解析や影響範囲の調査を行ったりする組織「CSIRT(シーサート)」を企業内に設置することについてご紹介します。

その1 ウェブサイトが改ざんされてしまった後にすべきこととは?

ウェブサイトが改ざんされてしまったら、企業がとらなければいけない対応とはなんでしょうか。

1カ月以上かかる、ウェブサイト公開停止から復旧まですべきこと。

改ざんされたウェブサイトを元の正常な状態に戻すまでには、これほどまでの様々な対応をしなければなりません。

その2 社内にCSIRTを作ろう!

ウェブサイト改ざん後の様々な対応は、個々の担当者が各自の裁量で実施してしまうと、的確に対応できなかったり、「漏れ」や「事故」が起きてしまうリスクがあります。
そのため近年、社内に「セキュリティの問題に対処するための組織を設置すること」に注目が集まっています。その組織の呼び名は「CSIRT(シーサート)」。コンピュータ・セキュリティ・インシデント・レスポンス・チームの略称です。

その3 組織内CSIRTの役割

CSIRTの事務局を運用している一般社団法人JPCERTコーディネーションセンターによると、組織内CSIRTの主な役割は、
(1)「ユーザからのインシデント報告」を受けること
(2)「外部のインシデント対応チームとの連携」を図ること
(3)「インシデント関連情報の伝達経路の保全」を確保すること
とあります。
(出典:JPCERT コーディネーションセンター「組織内CSIRT の役割とその範囲」)

(1)
ユーザからのインシデント報告を受ける
ウェブサイトの改ざんは、自社のサイト管理者ではなく、じつはエンドユーザからの報告で発覚することが多発しています。そのため改ざん発見者がどこに連絡すればよいかを明確に知らせる統一窓口があるとよいそうです。
(2)
外部のインシデント対応チームと連携する
日本にはインシデント対応のプロを雇っている企業はほとんどありません。だからこそ、外部のセキュリティ専門企業やインシデント対応チーム(CSIRT)に技術・情報の提供を求め、連携しながら対処することが有効なのだそうです。
(3)
インシデント関連情報の伝達経路の保全を確保する
インシデント関連情報のやり取りには通常、インターネット回線の電子メールを使用することが多いため、なりすましや改ざん、第三者に盗聴されていない環境で行うことが重要です。送受信の際には暗号化およびデジタル署名アプリケーションを活用するとよいそうです。

これらがインシデント対応を行うための重要ポイントとなります。

その4 社外に仲間を作ろう!

セキュリティインシデントに対応するにあたっては、似たような課題をもつ組織同士がインシデントの予防と対応に相互協力できると心強いですよね。

JPCERTコーディネーションセンターは特定の政府機関や企業から独立した非営利団体で、日本国内のセキュリティインシデントに関する報告の受付や情報提供、再発防止のための技術的な助言をするなどして組織内CSIRTの活動を支援しています。

メルマガでのセキュリティに関する情報発信や、同センターが運営している「日本シーサート協会(NCA)」でワーキンググループ等を実施しているそうですので、参考にされてみてはいかがでしょうか。

まとめ

今回は、組織内CSERTについてご紹介しました。CSIRTを参考に、まずは自社のウェブサイトが改ざんされることを前提とした社内体制作りからスタートしてみてはいかがでしょうか。

ちなみに、当社のウェブアルゴスは堅牢な防御でも突破されることを想定して開発したセキュリティ・ソリューションです。ウェブアルゴスがあれば、ウェブサイトが改ざんされた瞬間に検知し、1秒以内で元の正常な状態に戻すことが可能なので、サイトの公開を止めずに防御強化に専念することができます。 “防御突破を前提としたセキュリティ対策”をご検討の際には、是非ウェブアルゴスの導入も検討してみてくださいね!

このページの先頭へ