皆さん、こんにちは。私はSky株式会社の情報システム部に所属しています。今回は、セキュリティインシデント発生時の対応力を強化するための社内演習についてご紹介します。Sky株式会社では、サイバー攻撃に対抗するために、ログ解析実践演習、データ保全実践演習、机上演習の3つの形式で定期的に演習を実施しています。特に、ログ解析実践演習では、インシデント発生から調査、報告、評価までの一連の流れをシミュレーションし、対応力の向上を図っています。
日々進化するサイバー攻撃に対抗するためには、私たちのセキュリティ対応力を常に向上させることが重要です。そこで、Sky株式会社では、セキュリティインシデント発生時の対応力を強化するための社内演習を定期的に実施しています。
このブログでは、私たちが実施している社内演習の内容についてご紹介します。
社内演習の開催形式
現在、以下3つの形式で演習を実施しています。
-
ログ解析実践演習
ログ解析を基に演習環境に対する攻撃の全容を解明 -
データ保全実践演習
演習環境に対して、フォレンジックに必要となるデータを実際のツールを使用して保全 -
机上演習
提示されたシナリオに対して、インシデント対応マニュアルを基にディスカッション形式で必要なアクションを決定
直近の開催実績
実践演習
- 2024年2月:ログ解析実践演習
- 2024年9月:グ解析実践演習
- 2024年11月:ログ解析実践演習
- 2025年1月:物理環境のデータ保全実践演習
- 2025年3月:仮想環境のデータ保全実践演習
机上演習
- 2025年6月:インシデント対応訓練机上演習
今回は、上記演習の中から「ログ解析実践演習」について紹介させていただきます。
役割と流れ
役割
1. ファシリテーター(攻撃者、演習進行役、CISO兼務)
- 攻撃者として、事前に演習環境へ攻撃を実施
- 演習の進行役として、インシデントの発生をインシデントハンドラーへ通知
- CISOとして、インシデントハンドラーからインシデント発生内容の報告を受領
2. インシデントハンドラー
- 各システム運用担当者へログ調査を指示
- 調査結果の整理と可視化
3. システム運用担当
- 各システムログの確認と調査を実施
流れ
1. インシデント発生報告
- ファシリテーターは、インシデントの発生をインシデントハンドラーに報告
2. 調査指示
- インシデントハンドラーは、各システム運用担当に調査を指示
3. ログ解析
- 各システム運用担当は、インシデントハンドラーの指示の下、ログ確認と調査を行い、インシデントハンドラーに情報を共有
4. CISOへの説明
- インシデントハンドラーは、ログ解析の調査結果を基にCISO役であるファシリテーターにインシデント全容を説明
5. 評価
- ファシリテーターは以下のポイントで演習結果を評価
- 全容解明率 … 実際に行われた攻撃に対して、どこまで全容解明ができているか
- ログ理解度と実践スキル … ログを正しく理解できているか、ログから異常を見つけることができているか
- コミュニケーション … インシデントハンドラーは適切にシステム運用担当にログ解析指示が行えているか
- 情報整理と可視化 … インシデントハンドラーは調査結果をCISOに報告できるレベルで整理と可視化ができているか
シナリオ:ノーウェアランサムウェアによるデータ窃取&削除
演習環境およびシナリオ作成のポイント
- 演習環境は社内の実環境(SKYSEA Client ViewやEPP / EDR製品の導入など)を再現できているか
- EPP / EDR製品によってブロックや駆除が行われないか
- 実際に発生し得るインシデントになっているか
- 攻撃ステップに矛盾はないか
以上が、社内で行っているログ解析実践演習になります。
次回は、「データ保全実践演習」についてご紹介します。