実践的サイバー防御演習「CYDER」紹介資料

0

2019年3月版

国立研究開発法人 情報通信研究機構

はじめに

Page 1

• 本資料について

– 本資料は実践的サイバー防御演習（CYDER）の内容を紹介するものです。

– 2019年度のCYDERは、Aコース（初級）とBコース（中級）があります。

近年のサイバー攻撃に関する背景

実践的サイバー防御演習CYDER

サイバー攻撃に対応するためのインシデントレスポンス能力の向上が

求められている

• IT依存度の高まり•Society5.0サイバー空間がフィジカル空間へ与える影響が増大

予防策だけではサイバー攻撃に対応しきれない

セキュリティインシデントの発生を前提に、迅速な復旧を目指すレジリエンスの重要性が高まる

サイバー攻撃の•増加•多様化•巧妙化

身近な脅威に！

Page 2

CYDERの目的

Page 3

▌ 増加するサイバー攻撃に対応するため情報システム担当者のインシデントレスポンス能力の向上を目的としています。日常の運用を考慮しながら、事業継続を脅かす攻撃に対応できる「総合力の高い情報システム担当者」の養成を目指します。

▌サイバー攻撃について理解を深め、インシデントハンドリングを体験することで「どうすれば検知できるのか」「被害を最小限にするためにどんな対応をすればいいのか」という気づき（ヒント）を得ることができます。

page4

どのようなスキルを習得できるか？

Aコース及びBコースを通じて、以下のスキルを習得し、インシデント対応の全体像を理解し、検知から報告書作成まで対応できるようにします。

検知・確認

調査

証拠の保全

調査依頼

封じ込め

事後対応

検知・確認

報告

情報収集

インシデントの予兆を認知した後、事実確認を実施できる

関係者（ステークホルダー）への適切な報告が実施できる

インシデント現場の端末利用者に対する適切なヒアリング内容を理解する

攻撃の痕跡から必要な情報を検索し、情報漏洩の可能性等を調査できる

保全対象となる端末の選択が実施できる

外部機関と連携して、適切な調査依頼を実施できる

インシデントに合わせ、適切な封じ込めを実施できる

所定のフォーマットを用いて、報告書作成が実施できる

インシデントのカテゴリ、インシデントレスポンス及び応答のタイムラインに関する知識

インシデントレスポンスとハンドリングの方法論に関する知識

インシデントハンドリング手法の利用に関するスキル

インシデントの根本原因分析に関する知識

インシデントに関連したネットワークセキュリティの報告のためのプロセスに関する知識

企業のインシデントレスポンスプログラム、役割及び責任に関する知識

インシデントの根本原因分析の実施に関するスキル

報告されたインシデントの文書化と問い合わせに用いられるデータベース手続きに関する知識

セキュリティ人材に必要とされる能力とNICT が行う実践的サイバー演習の対応関係

セキュリティ人材に必要とされる、スキルおよび知識の一覧 (※1)

総合的なセキュリティ人材は、インシデントマネジメント技術のみならず、セキュリティの基礎知識から、計算機やネットワーク等の専門性の高い分野や、事業運営、情報倫理、法制度までを含む、幅広いスキルと知識が必要となる

行政機関や民間企業の現場で働く情報システム担当者等は、日常業務が忙しく、訓練に長時間を割くことが難しいNICTの実践的サイバー防御演習では、「ベンダーお任せ」では済まない、インシデント発生時の即応的な対処のために最低限必要なスキルを厳選して凝縮し、１日程度のコンパクトで効率的な実機演習を実施している

※1 「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版 (JNSA)」を基に作成

：演習で集中的に得られる技術分野

：演習で部分的に触れる技術分野 (インシデント発生時の即応的な対処能力の習得に焦点を絞れば、必ずしも、演習で集中的に取り組む必要まではない技術分野)

技術領域 具体的な技術分野の例

ICT 基礎 ハードウェア、OS、ネットワーク、システム開発

工学基礎 プロセス工学、フォールトトレランス、数学

セキュリティガバナンス 情報セキュリティアーキテクチャシステム

セキュアシステム設計・構築

システムライフサイクルマネジメント、構成管理

暗号・認証・電子署名 暗号化アルゴリズム、認証手法、一方向性ハッシュ

セキュリティ運用

セキュリティ運用と事業の衝突回避

インシデント対応

セキュリティ技術に関する知識

セキュリティ基礎 CIA、セキュリティ問題・リスクおよび脆弱性

サイバー攻撃手法 脅威、攻撃手法、脆弱性、マルウェア、ハッキング

デジタルフォレンジックス データの保全・解析・保管、ライブデータの解析

セキュリティマネジメント 教育、啓発、ポリシー、セキュリティ対策

システムセキュリティ システムの脅威と脆弱性、バイナリ解析

ネットワークセキュリティトラフィック解析、侵入検知、アクセス制御

フィルタリング、ペネトレーション、脆弱性診断

ビジネス基礎 コミュニケーション能力、組織評価、アセスメント

法・制度・標準 国内外関連法・標準、コンプライアンス、ポリシー

インシデント対応

セキュリティ運用と事業の衝突回避

セキュリティ技術に関する知識

運用上のセキュリティに関する知識

新興の情報技術と情報セキュリティ技術に関する知識

システム診断ツールと障害識別技法に関する知識

自組織内部の構造とプロセスについて報告するコンピュータネットワーク防御 (CND) サービスの提供者に関する知識

主要ベンダの製品と用語及びエクスプロイト／脆弱性にどのように作用するかの相違点に関する知識

セキュリティ運用と事業の衝突回避に関するスキル

リスク脅威の評価に関する知識

内部不正の検出、報告、検出ツール及び法規制に関する知識と経験

セキュアな取得に関する知識

セキュリティイベント (事象) の相関ツールに関する知識

Page 5

CYDER 事前オンライン学習の紹介

Page 6

事前オンライン学習とは

• CYDERの演習会場で実機を使用したインシデントハンドリングの演習を受ける前にインシデントハンドリングの心得について学びます。

• 次のページから事前オンライン学習の一部を紹介します。

Page 7

情報セキュリティとは何か

情報セキュリティとは、「適切な情報管理」を行うことです。

適切な情報管理には、以下の３つの要素を確保して組織の正常運営の維持に

努めます。

適切な情報管理

Page 8

CSIRTとは何か

Page 9

• CSIRTの機能

– 専門的知見

• 攻撃手段の変化、高度化に関する最新情報の収集

• NISC、IPA、JPCERT/CC、警察庁、総務省等外部機関との連携

• 他組織（他の自治体等）との情報連携

– インシデントへの即応力

• 情報セキュリティに関する統一的な窓口（PoC）対応と情報を集約する能力

• 関係する多くの部門間の調整を行う能力（横・縦）

• インシデントレスポンスを実施する能力

– 迅速かつ的確な意思決定の支援

• CISOや情報セキュリティ委員会等が意思決定をするために必要な情報の整理と報告

CSIRT（Computer Security Incident Response Team）は、セキュリティインシデントを扱う組織の総称です。インシデントの増加に伴い、組織内のインシデントに対応する組織内CSIRTをもつことが多くなってきています。

Page 10

タイムラインの記録

インシデントレスポンス

初動対応

復旧措置（暫定対応）

再発防止策（恒久対応）の検討

対応方針の検討

証拠保全

封じ込め

根絶

検査・分析

インシデントに関する予兆等

報告・公表

インシデントハンドリング

トリアージ

検知連絡受付 検知・連絡受付

PoC

報告・公表

事後対応事後対応

※実際のインシデントハンドリングにおいては、各組織のルールに則った対応をしてください。

インシデントハンドリングの流れ

CYDER 集合演習の紹介

Page 11

• CYDERの演習会場では、実際にPCなどを使用したインシデントハンドリングの演習を受けていただきます。– チームごとに社内LANを再現した仮想空間を準備しています。

– 受講者は、そのネットワークの管理者として、発生したインシデントに対応いただくこととなります。

• 次のページから集合演習の一部を体験いただきます。

演習会場では実機を使用しないと解答できないような課題ですが、ここでは実機がなくても取り組めるようにアレンジしてあります。

Page 12

集合演習とは

*CYDER演習は、(ISC)2のCPE付与対象です。

事実確認 問題

外部機関より通報の事実を確認をするためにプロキシサーバのログにC&Cサーバとの通信の記録があるか調査します。自組織のプロキシサーバのログを採取して調べてみましょう。演習会場では、受講チームごとに専用プロキシサーバを実際に操作します。

問題：

（１）プロキシサーバのログからどのようなことがわかるか調べてみましょう。

・プロキシサーバを経由する通信の種類(HTTP、HTTPS等)・プロキシサーバを経由する送信元と、経由しない送信元・プロキシサーバのログの保存期間・プロキシサーバのログの出力項目（現在の設定と、設定で出力可能になる項目）

（２）事実確認のため、ログの送信元IPアドレス、通信日時、通信量、リファラ情報を確認しました。プロキシサーバのログにその情報が記録されているか確認してみましょう。

※プロキシサーバを導入していない場合は、ファイアウォールのログの保存期間や、どのような情報を残せるか等を確認します。また、プロキシサーバの導入も検討しましょう。

Page 13

事実確認 解説１

プロキシサーバのログから、インシデントハンドリングに有用な情報を得ることができます。以下に得られる情報の例を示します。

• C&CサーバのFQDNを把握できている場合には、 FQDNに通信しているIPアドレスから、感染端末を特定できる可能性があります。

• 感染した時期や、感染した順序を推測する際には、通信日時の情報が役に立ちます。

• 自組織の端末から攻撃者のサーバに転送された通信量から、情報漏えいの有無を推測できる可能性があります。

• 悪意のあるサイトに誘導される一連の流れをリファラ情報から、調査できる可能性があります。

Page 14

事実確認 解説2

演習会場では、既知のC&CサーバのFQDNから、感染が疑われる端末の調査をしていただきます。

Page 15

① Excelで http://att1.cyder-killer.com/ を含む行を検索する

② IPアドレスの欄を確認すると、172.21.76.156しかないことがわかる

事実確認 解説3 –ログの読み方-

このプロキシサーバのログを見ると、HTTP応答ステータスコードや、リファラ情報がログに出力されていたため、改ざんページにマルウェアのダウンロード用のリンクがあったことが推測できます。

Page 16

遷移元ページのステータスコードが200であるため、リンクが貼られていたと推測される

遷移先URL外部アドレスであるため、当該端末の用途を考慮すると、不審なサイトであることがわかる

遷移元URL（リファラ）

ステータスコード

意味

200 リクエスト成功

404 ページ未検出

事実確認 解説4 －ポイント－

• プロキシーサーバに関する設定のポイント

➢ 全ての端末からのHTTP、HTTPSの通信をプロキシサーバを経由するようにしておくことで、プロキシサーバのログによって調査が効率的に行えます。

➢ ログの保存期間が短いと、発生時期を推測するのに十分な情報を得られません。

➢ ログの情報が多いほど、インシデントの調査をする際に役に立ちます。

※ログにどのような情報が記録されるかは、製品の仕様や設定によって異なります。

Page 17

Page 18

CYDER演習画面イメージ

おわりに

– 本資料は実践的サイバー防御演習（CYDER）の内容を紹介するものでした。

– 実際のCYDERは、実機を用いて、より実践的なインシデントハンドリングを体験し、そのノウハウを持ち帰っていただきます。

– 自組織において、インシデントに備えどのような準備が必要か持ち帰っていただきます。

【CYDER Webサイト】

https://cyder.nict.go.jp/

Page 19