【授業復習】デジタル調査
■一般的な要素事項の例
デジタル証拠を扱う時は、一般的なフォレンジックと手続きの原則を 適用しなければならない。
• デジタル証拠を押収する際に、その措置で証拠が変更されてはならない。
• ある人物がオリジナルのデジタル証拠にアクセスする必要がある場 合、その人物はその目的のために訓練を受けるべきである。
• デジタル証拠の差し押さえ、アクセス、保管または移転に関連する すべての活動は完全に文書化され、保存され、再調査のために利用可能なものでなければならない。
• デジタル証拠が保持されている間にデジタル証拠に関して行われ たすべての措置については、証拠の所有者が責任を負う。
ーどんなことが行われているかは自分自身で管理する必要がある。組織の所有者が全責任を負う。
• デジタル証拠の押収、証拠へのアクセス、保管またはデータ移転を 伴う事業者は、これらの原則を遵守する責任を負う。
■管理の連鎖
Chain of custody(日本語ではなく英語で呼ばれることが多い
• 証拠のライフサイクル全体に渡る取り扱いの記録を取る必要がある。
EX.証拠の改ざん、証拠の汚染、証拠のすり替え、証拠の紛失
■フォレンジックツール
主な機能
• タイムライン分析
ー集めた情報から時間ベースの進行表を作ってくれる。いつどのようなマルウェアに侵入されたかとか。
• アーティファクト分析
ー攻撃者が攻撃のために作った道具。マルウェアやその仲間を分析する。
• 画像や動画の検索
=>フォレンジックの対象は幅広い
• キーワード検索機能
ー日本語の検索は難しい。文字コードの違いや、全角or半角、表記の揺れetc...
■セキュリティインシデント Security Incident
• コンピュータもしくはネットワークのセキュリティの何らかの観点を犯
す、あらゆる有害なイベント。
•例
− 情報の守秘性の喪失
− 情報のインテグリティ(完全性)の侵害 − サービスの不能
− サービス、システムもしくは情報の濫用 − システムへの被害
ー起こったら困るもの。
→セキュリティインシデントが起きた時に関係者総出で対応するのはCSIRTという団体。
■Computer Security Incident Response Team, CSIRT
• セキュリティインシデントへの対応をコーディネートし支援するチーム。
• 以下の機能が必要とされる。
− インシデントについての報告を受け取るためのセキュアなチャネルの提供
ーインシデントが埋まらないように報告を受けられる仕組み作り。また、もし盗聴されていたら困るので、セキュアな方法が求められる。
− インシデントに対処する際の支援の提供
− インシデント関連情報の配布
ーインシデントが起きていない時に情報を配布する。古くはCERT(Computer Emergency Response Team)と呼ばれていた。カーニギメラン大学からの公認や商標が必要だった。
■構成員 Constituency
CSIRTの活動の提供対象。本来の語源としては選挙区の住民という意味ではあるが、活動の提供対象とか利用者、事業所、ネットワーク等を意味している。
■RFC2350
コンピュータセキュリティインシデント対応への期待の元作られた規則。
(英訳)Expectations for Computer Security Incident Response
• 1998年発行。
• CSIRTチームに求められるものをまとめたベストプラクティス。
◎CSIRTポリシーと手続きの公開
• ポリシーの明確化
• 関連する手続きの明確化
• ポリシー、手続きの公開(Webなど) • 公開情報の真正性の保護
◎他組織のCSIRTとの関係の構築 • 助言の要請
• インシデント解決のための協力
→競走企業同士でもCSIRT同士仲良くしよう
◎セキュアな通信手段の確立
• PGPによるメールの保護など
■ポリシー
インシデントの種類とサポートのレベルなどの優先順位を定める。
協力、相互関係、情報の開示を行う。
◎関係組織の例
• 他のCSIRT
• ベンダーー装置の提供元
• 法執行機関ー捜査機関、裁判所等
• 報道関係者
• オーソリティー監督するような人
■サービス
インシデント対応:インシデントが起こった場合
ーインシデントトリアージ:インシデントのレベルを定める、優先順位を決める
ーインシデントコーディネーション:自分たちで解決する時もあれば他の人に協力してもらう時もある
ーインシデント解決
予防的な活動:インシデントが起こっていない場合
ー情報提供
ーセキュリティツールの提供
ー教育と訓練:標的型メール訓練とか、本当に起きたら予定していたプロセスが踏めるかが大事
ーセキュリティ監査とコンサルティング
■情報リソース
ーJPCERT/CC
Japan Computer Emergency Response Team Coordination Center
• 日本国内に関するインシデント等の報告の受け付け。
• 対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言を行っている。
ー日本シーサート協議会
Nippon CSIRT Association, NCA
• 日本におけるシーサート(CSRIT)チームが,単独のシーサートだけ で活動するのではなく、互いに協調する場を持ち、これまでにない。
高いレベルでの緊密な連携体制の実現を目指しながら、共通の問 題を解決する場を設けることを目的として設立。
ーCVE
Common Vulnerabilities and Exposures
• 一意のID,概要,公的な参照先などを記載した,サイバーセキュリティ脆弱性の公開リスト。
• CVEのIDが振られることは世間でセキュリティホールと認められたと いうこと。
■CVSS
Common Vulnerability Scoring System
• 情報システムの脆弱性に対するオープンで汎用的な評価手法。
• 脆弱性の深刻度を同一の基準の下で定量的に比較できるようになる。→セキュリティを指標として評価するもの
• FIRST(Forum of Incident Response and Security Teams) のCVSS‐ SIG(Special Interest Group)で適用推進や仕様改善が行われて いる。
◉評価の基準
• 基本評価基準(Base Metrics)
− 脆弱性そのものの特性を評価する基準。
• 現状評価基準(Temporal Metrics)
− 脆弱性の現在の深刻度を評価する基準。
• 環境評価基準(Environmental Metrics)
− ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準。
table:攻撃元区分
ネットワーク(N) 対象コンポーネントをネットワーク経由でリモートから攻撃可能である。 0.85
隣接(A) 対象コンポーネントを隣接ネットワークから攻撃する必要がある。 0.62
ローカル(L) 対象コンポーネントをローカル環境から攻撃する必要がある。 0.55
物理(P) 対象コンポーネントを物理アクセス環境から攻撃する必要がある。 0.55
基本評価基準