見えざるサイバー攻撃 ~標的型サイバー攻撃の組織的な対策~
Summary
TLDRこのスクリプトは、企業内部でのサイバー攻撃のリスクと対策について説明しています。物語は、社員が不審なメールを受信し、それが標的型サイバー攻撃の兆候となって組織に深刻な被害を与えるプロセスを描いています。システム管理部は、不審な通信を検知し、迅速に対応し、内部のログ記録の不足を認識。組織は、サイバー攻撃に備えた情報共有体制を強化し、社員への教育とルールの周知徹底を行っています。最終的に、標的型サイバー攻撃の予防と対応について、IPA(独立行政法人情報処理推進機構)の相談窓口の活用を促し、組織全体が連携して対処していく重要性を強調しています。
Takeaways
- 📅 ログの保存期間は1年間とルールで定められているが、DNSサーバーのログは半年しか保存できないという問題がありました。
- 🚨 不審な通信が見つかり、サイバー攻撃の可能性があります。迅速に対応する必要があります。
- 💻 ファイルサーバーへのアクセスが一時的に制限されると、業務に支障が出る可能性があるため、事前に十分な説明と準備が必要です。
- 🔍 サーバーのログを遡って調べることで、不審な通信の歴史を追跡することができました。
- 😨 標的型サイバー攻撃は、メールの添付ファイルなどから感染し、企業の情報資産を脅かす可能性があります。
- 🛡️ 内部対策として、攻撃の拡大を防止し、外部との通信を遮断する監視体制を強化することが重要です。
- 📝 ログの記録は、システム内の操作や設定の変更、外部との通信など、稼働中の出来事を記録するため非常に重要です。
- 🤔 社員が不審なメールやシステムの不調に気づいても、それがシステム管理部門に伝わらないことがあるため、情報共有の体制を強化する必要があります。
- 🔄 標的型サイバー攻撃に備えた体勢は形だけ作っていてはなく、内の情報共有も十分に行う必要があります。
- 👥 全社員がサイバー攻撃への対応を理解し、ルールを熟知していることが必要で、組織的な対応が求められます。
- 🌐 IPAは標的型サイバー攻撃の相談窓口を設け、注意喚起や対策の低圧を図る活動を行っています。
Q & A
システム管理部が抱えていた問題は何ですか?
-システム管理部は、ファイルサーバーの不審な通信を検知し、ログの保存期間が十分でなく、内部の情報共有が不十分な問題を抱えていました。また、システム保守会社のログ監視が不十分であったことも明らかになりました。
社員がサイバー攻撃の兆候に気づいたらどうすればよいですか?
-社員がサイバー攻撃の兆候に気づいたら、すぐにシステム管理部に報告し、指示に従って行動することが重要です。また、不審なメールや添付ファイルを開かないよう注意が必要です。
標的型サイバー攻撃とは何ですか?
-標的型サイバー攻撃とは、特定の企業や組織を狙って行われるサイバー攻撃です。メールを介してウイルスを送り込み、システムに侵入し、情報を盗み出すことが目的です。
ファイルサーバーのログが不審な通信を示しているのはいつからですか?
-ファイルサーバーのログによると、先月から不審な通信が見つかり、さらに過去のログを遡って調べると、2月、12月、10月にも不審な通信があったことがわかりました。
社員が感染したとされる場合、システム管理部はどのように対応しますか?
-社員が感染したとされる場合、システム管理部はそのパソコンを一旦預かり、詳細な解析を行い、感染源を特定します。また、全部署に協力を求め、パソコンの調査を行って感染拡大を防止します。
システム管理部が行った内部対策とは何ですか?
-システム管理部が行った内部対策には、情報集約の体制整備、社員への周知徹底、内部の監視体制強化、ログの記録と保存期間の見直し、社員教育などが含まれます。
社員が不審なメールを受け取った場合、どのような行動をとるべきですか?
-社員が不審なメールを受け取った場合、添付ファイルを開かず、すぐにシステム管理部に報告し、指示に従って行動するべきです。
サイバー攻撃に対処するために、組織的に対応を行う必要性は何ですか?
-組織的に対応を行うことで、サイバー攻撃に対する迅速かつ効果的な対応が可能になります。また、全社員が攻撃に気づき、情報を共有することで、早期発見と早期対応が促進されます。
システム管理部が行ったヒアリング調査の結果、何がわかりましたか?
-ヒアリング調査の結果、社員の中にはシステム管理部への報告ルールを知らなかった人もいることがわかりました。また、パソコンに変な動作があったり、アラートがいくつもあっていました。
IPA独立行政法人情報処理推進機関はどのような活動を行っていますか?
-IPA独立行政法人情報処理推進機関は、標的型サイバー攻撃の相談窓口を設け、広く注意喚起や対策の低圧を図る活動を行っています。また、サイトからダウンロード可能な資料も提供しています。
社員がサイバー攻撃に気づいたら、システム管理部に報告する必要性は何ですか?
-社員がサイバー攻撃に気づいたら、システム管理部に報告することで、早期発見と早期対応が行え、被害の拡大を防止することが可能になります。また、情報共有が促進され、組織全体のセキュリティ向上に貢献します。
ファイルサーバーのログが保存できない理由は何ですか?
-ファイルサーバーのログが保存できない理由は、DNSサーバーのログが半年しか保存できないという仕様があるためです。また、各部署ごとのマシンでログの保存期間が異なっていたため、統一的なルールが適用されていませんでした。
Outlines
😀 システム管理の課題と不審な通信
最初の段落では、システム管理部が外部講習に参加するためにメールでの受付が行われていない状況が描かれています。また、SEの仕事に興味を持つ応募者に対して敬語を使ったコミュニケーションが求められています。システム管理部の社員である滋賀さんが新入社員を紹介し、システムのネットワークや管理に関する説明を行っています。しかし、不審な通信が見つかり、サイバー攻撃の可能性が指摘されます。その結果、ファイルサーバーへのアクセスが一時的に制限される事態に発展します。ログの保存期間の問題も提起され、システム管理の課題が浮き彫りにされます。
😨 サイバー攻撃の影響と対応
第二の段落では、サイバー攻撃によってサーバーから情報が盗まれた可能性があることが示されますが、具体的な被害は不明です。感染経路も不明であり、システム管理部の責任が問われます。ログの監視不足が指摘され、ルールの不備や情報共有の不十分さが攻撃の発見を遅らせた要因となりました。その後、ファイルサーバーの調査とプロキシサーバーの分析を行い、感染ルートを特定するとともに、標的型サイバー攻撃に対する内部対策の重要性が強調されます。
🛡️ サイバーセキュリティの強化と組織的な対応
最後の段落では、内部対策の強化と監視体制の重要性が語られます。ログの記録がシステム内の操作や設定変更、外部との通信を記録し、サイバー攻撃の兆候を発見する上で欠かせない役割を果たしていることが強調されています。また、社員が不審なメールやシステムの不調についてシステム管理部門に伝えることが、攻撃の早期発見につながることを示します。企業は、サイバー攻撃に対処するため、情報集約体制の整備、社員への周知徹底、内部対策の強化などを行っています。IPAが提供する相談窓口やサイトの活用が提案され、組織的な対応が求められます。
Mindmap
Keywords
💡システム管理部
💡不審な通信
💡サイバー攻撃
💡ログ
💡標的型サイバー攻撃
💡ウイルス
💡情報共有
💡内部対策
💡監視体制
💡ルール
💡情報処理推進機構(IPA)
Highlights
不審な通信の記録を見つけた
サイバー攻撃の可能性
ファイルサーバーへのアクセスを一時的に制限
不審な通信が半年以上続いていた
ログの保存期間が不十分
ファイルサーバーが遠隔操作されていた可能性
新製品の開発情報が盗まれた可能性
感染経路が不明
システム管理部の責任
システム保守会社の対応が不十分
社員に不審なメールやシステムの不調が報告されなかった
標的型サイバー攻撃に備えた体勢が不十分
ファイルサーバーと人事部のパソコンが同じ通信経路
社員全員のパソコンを調査
標的型サイバー攻撃は社員1人1人を狙う
内部対策の強化が重要
ログの長期保存が望ましい
システム管理部が全部署にヒアリング調査
組織的な対応が不可欠
Transcripts
さっき見せてもらっ
なあ部長それじゃあ外部講習行ってき
[音楽]
ますメールでの受付はしてないんだけど
なSEの仕事に興味を持ち応募検討して
いたいておりますちゃんと敬語は使って
よどんなやつ
だろ応募はホームページのフームにて
受け付けておりますので手数デは
[音楽]
こち失礼します失礼しますここがシステム
管理お疲れ様あお疲れ様あ新入
社員そう海賊前に車内の各部署案内中
こちらシステム管理部の滋賀さん新入社員
のコミネですよろしくお願いします
よろしくあこの部署の役割教えてやって
くれる分かったえっとここは車内の
ネットワークとかシステムの全般の管に
なっている所な
はいなんだよ
[音楽]
これ理解できたかなシステムリブの
仕事ま俺もよく分かってないんだけどね
分かってないのだって難しいもんすいませ
んしさんちょっといいですかえどうしたの
ちょっとじゃあここで
あ
ありがとうここ
です何これもう少し詳しく調べてはい
[音楽]
すみさんですかあはいあすみません遅く
なりましたあいやいやお忙しいとこ
ありがとうございますすいません早速お
願いします
はいいや実はですね今日たまたまベケで
サーバーのロゴを閲していたら不審な通信
の記録が見つかりましてそうだったんです
かじゃあ早速見てみましょうかお願いし
ます
[音楽]
確かに今週だけで5回も不審な通信が行わ
れてます
ねもしかしてこ
れってサイバー攻撃かもしれません
サイバー攻撃
えいません少しお時間ですはいまし
を少しだけおさせし
ますみんなちょっといいかあ
はいシステム管理部からの連絡で今日の
午後車内の共有ファイルサーバーへの
アクセスを一時的に制限するということだ
えどうしたんです何か緊急でメンテナンス
をするらしいそれじゃ仕事になんないです
よ本当だよ
な
不審な通信いつからかしらサーバーのログ
遡って調べてみ
ましょう先月にはもう不審な通信の形跡が
ありますねもっと前
は2月にもあり
ます1月
も12月にもすでにあります
ね10月にもありまし
そんな半年も前
からログの保存はここまでですねえそんな
はずはないわ車内ルールでログは1年間
保存することになってるからあのこの
DNSサーバーのログは仕上半年しか保存
できないんですそうな
のそんなこと聞いてなかった
わこの半年ファイルサーバーが不審な通信
を繰り返していました遠隔操作されていた
ようですサーバーから情報が盗まれていた
ということか確認はできていませんが
おそらく
何が盗まれたんだ新製品の開発情報は
大丈夫か不明です調査してい
ますところで感染経路は現在のところ不明
です不明なことばかりだなサーバーのオの
保存が不十分でしてなぜだい1年間保存と
いうことになっていただろう申し訳あり
ません半年以上保存できない仕様だったん
です他にも部署ごとマシンごとにログの
保存期間がバラバラでしたそれじゃあ
ルールを作っても意味がないじゃない
かこの半年間に私がログのチェックを
ちゃんとしていればもっと早く気づいたと
思います申し訳ありません委託している
システム保守会社がログの監視を毎日して
くれていないのかそこまでの業務は痛くし
ていないの
でそうかそうだったなシステム管理部の
責任です申し訳ありませ
ん
いやセキュリティを全てシステ理任せにし
ていた私の責任だ
よ設備投資を
含めもう一度見直しをせんといかん
な様ずつお話を伺っていてその後システム
管理部スタッフが全部署にヒアリング調査
を行った最パソコンに変な動作とかあり
ませんし査では
アラト
なきがいくつもあったことがかっ
たこのようなトラブルはシステム管理部に
報告するルールになっていたのだ
が中にはそんなルールは知らなかったと
いう社員もい
た標的型サイバー攻撃に備えた体勢は形
だけは作っていたものの内の情報共有は
十分になされずしっかりとしてことが露呈
したので
あるその後ファイルサーバから逆にたどり
感染ルートを調べていったそして外部との
通信を管理するプロキシサーバーを調べた
ところ見て
くださいこの部署のパソコンにファイル
サーバーと同じ通信経路がありますという
ことはどちらもサーバーと繋がっていたん
でしょうどこの部署です
か人事部だわ人事
部あみんなシステム管理部からお願い
とそうだこれから皆さんのパソコンを調査
させていただきますえこれ
から申し訳ありませんがご協力をお願いし
ますあいやいや社長からも連絡があったん
だ
社長
がうちの部署のパソコンからウイルス感染
したかもしれないそう
だここはシステム管理部に協力してくれる
[音楽]
かありましたえ僕が去年の9月です
ねあのこのパソコン一旦預からせて
いただきたいのですがえあ
はいまさか後日詳しい解析の結果パコン人
部道のパソコンから感染源のメールと添
ファイルが特定された染した
よう思い出し
た確かに開い
た添付
ファイル
企業や組織を狙った標的型サイバー攻撃は
どんどん巧妙になりメールを受けた時に
見分けることは困難となってい
ますそこで入り口で防ぎきれずウイルスな
のがシステム内部に入ってきた時にどう
対処するかといった内部対策が非常に重要
となってくるの
です例えばシステム内部に攻撃者が入
しまった後で可能な限り侵害の拡大防止
また外部への通信を遮断するそのために
監視体制を強化し調査を徹底するなどの
内部対策が重要
ですまた内部対策ではシステム内の操作や
設定の変更外部との通信など稼働中に
起こった出来事を日時と共に記録するログ
が重要な役割を果たします
できれば1年から数年保存しておきたい
もの
ですパソコン今回のドラマの事例では社員
が不審なシステムの不調などいくつかの
サイバー攻撃の兆候がシステム管理部門に
伝わらなかったこともサイバー攻撃の発見
が遅れた要因の1つでし
た社員に届いた不なメールや不なシステム
のな攻撃すると思われる情報を約する体を
整備するとともにその運用ルールを車内に
周知徹底し迅速に情報の集約が行える体制
を整えるようにし
[音楽]
ましょう俺のせいで感染したなんてあまり
気に止まないで標的型サイバー攻撃は
どんどん巧妙になってきてるのよあの時何
の警告も出なかったし
添付されたウイルスがウイルス対策ソフト
で検出されない場合もあるの感染に気づか
なかったのも無理ない
わその後この企業ではサイバー攻撃に
関する情報集約の体制整備と社員への周知
の徹底内部対策の強化などサイバー攻撃に
強い組織作りへと乗り出していった
標的型サイバー攻撃でまず狙われるのは
社員1人1人です私も含めいつ誰が
ターゲットになるか分かりません全車一眼
となった組織的な対応が何より大切
ですしっかり連携して強敵型サイバー攻撃
に対処していき
ましょう
IPA独立行政法人情報処理推進機構では
標的型サイバー攻撃の相談窓口を設け広く
注意換気や対策の低圧を図るなどの活動を
行っています是非ご相談
[音楽]
くださいまたご覧の察しもIPAサイト
からダウンロードできますので是非ご活用
ください
[音楽]
JA
5.0 / 5 (0 votes)