セキュリティコラム

サイバー・セキュリティを実現するテレワーク環境におけるインシデント対応

~ゼロトラスト時代のエンドポイント危機管理ソリューション~

2020年4月に「緊急事態宣言」を受けて、セキュリティ対策もままならない状況で多くの企業が突如テレワークを開始しました。 セキュリティ対策にどれだけコストを費やしても完全に攻撃を阻止することはできません。 しかし、対策の方法によってインシデント対応に必要な時間と費用、人的リソース等のコスト、そして何よりも調査結果にも大きく影響するのです。
ここでは、企業のセキュリティ担当者を対象に4つケースを提示し、それぞれのケースにおいてインシデントが発生した時に リモートからどのような対応が可能であるかついて例示します。

ホワイトペーパー

概要

テレワーク環境におけるインシデント対応には、準備のレベルによって収集可能なログやインシデント対応方法が異なり、調査結果にも大きく影響します。 4つのケースを提示し、実際にインシデントが発生した時の対応例についてご紹介します。

[ケース1] EDR(Endpoint Detection and Response)によるセキュリティの集中管理

EDRを導入することで、管理者はリモートからテレワーク環境における攻撃を検知及び調査が可能となります。 また、高精度な調査結果が得られ、感染端末のネットワークからの隔離、不審ファイルの隔離、復旧作業も可能となります。
EDRを適切に選定・導入・管理することで調査費用と調査時間を削減し、必要な調査結果を得ることが可能です。

[ケース2]IT資産管理ツール等によるユーザ操作ログの集中管理

ユーザ操作ログを自社ネットワークに設置したIT資産管理サーバで管理することにより、管理者は定期的にリモートからログを調査し、 ウイルス対策ソフト等によって検知されないサイバー攻撃を発見することが可能となります。
また、IT資産管理ツールを活用して対象の端末をネットワークから隔離できます。 操作ログを取得していることから内部不正の検知及び調査にも活用できます。

[ケース3]セキュリティアラート・通信ログの集中管理

ユーザは企業ネットワークに対してVPN接続し、インターネット通信のログをファイアウォールやプロキシサーバに記録します。 また、ウイルスの検知アラートはウイルス対策管理サーバに集約します。
管理者は、定期的に通信ログを調査することで不審な通信を検知したり、集約されたアラートから攻撃を検知することも可能です。 トリアージや簡易フォレンジックを実施するために、専用の調査ツールを活用する方法もありますが、 前記[ケース1]、[ケース2]の方法よりも時間を要します。
また、より詳細な情報が必要な場合にはデジタル・フォレンジックを実施することになり、更に調査時間と調査費用もより多く必要となります。

[ケース4]準備不十分

ユーザにウイルス対策ソフトを導入した業務用PCを貸与したものの、テレワークのセキュリティについて考慮しなかった場合を想定しています。 ユーザは多くの場合、ウイルス対策ソフトの検知によって攻撃に気づきます。
また、管理者はユーザからの報告をもってこれを知ることとなります。管理者は、専用の調査ツールを活用した簡易調査を実施することが可能です。
しかし、より詳細な情報が必要な場合にはやはりデジタル・フォレンジックを実施することになります。 デジタル・フォレンジックを実施した場合であっても、プロキシサーバ等の通信ログがないことから情報漏えいの有無や 攻撃を受けた他の業務用PCの特定が困難となります。
前記[ケース1]、[ケース2]、[ケース3]と比較して検知はおろか、調査費用と調査時間を多く必要とし、得られる調査結果も限られます。

まとめ

事前に準備することで検知の精度はもちろん、インシデント対応に必要とする調査費用、調査時間、人的リソースを削減することができます。
また、インシデントの状況を把握するために必要な情報を得られ、復旧までリモートから実施することも可能です。
反対に準備をおろそかにした場合には、インシデントが発生したことさえ検知することが困難となります。 仮に検知できた場合であっても、インシデント対応に多くの調査時間と調査費用を費やしたにも係わらず、十分な調査結果が得られないこともありえるのです。

テレワークを導入したもののセキュリティに不安がある場合は弊社にご相談ください。

サービスのご紹介

EDRの導入支援の他、お客様に変わってテレワーク環境等の監視からアラート時の調査までご支援します。

エンドポイント監視サービス

IT資産管理システムによる操作ログの収集に必要な設定から定期的なログ調査をご支援します。

クライアントログ解析サービス

テレワーク環境等においてインシデントを検知した場合に、業務用PCのレジストリや監査ログ等の 各種アーティファクトを「リモートから収集」、「アーティファクトの調査」、「業務用PCやサーバのデジタル・フォレンジック」等をご支援します。

フォレンジックサービス

テレワーク環境等において使用されているVPNサーバに対する脆弱性診断を発見します。

脆弱性診断サービス

テレワーク環境に言及したISO27001等のフレームワークを活用した「現状評価」、「セキュリティ文書策定」、「高度サイバー攻撃」等の シナリオを活用した「リスクアセスメント」をご支援します。

現状評価サービス  |  セキュリティ文書策定支援サービス  |  リスクアセスメントサービス

テレワーク環境等において必要な情報セキュリティリテラシーの教育、本物さながらの標的型メールを活用した演習を通じて、 組織全体のセキュリティ意識の醸成を図るご支援をします。

社員向けセキュリティ教育  |  標的型メール演習

情報漏えい発覚後の顧客対応、インターネットメディア対応、記者対応、会見対応、問合せ対応、第三者委員会設置等の危機管理をご支援します。

情報漏えい事後対応 ‐ 危機管理コンサルティングサービス


お問い合わせ

03-5634-7654電話受付時間/平日9:00-18:00
メールでのお問い合わせ