最近攻撃する側ばかり勉強していたけれど、守る側の勉強もしたくなった。
インシデントレスポンスとはコンピュータセキュリティインシデント(不正アクセスなど)への対応のこと。
この本は全部で第5部(550ページくらい)あるのだけれど、今日は第1部「インシデント対応 - 基礎知識編」を読んだ。インシデントが起こった際の証拠の取り方に関する事や、捜査に関わる法律に関する事などが書かれている。

例えばサーバーに不正アクセスがあったとしても、調査の為だからとユーザーのホームディレクトリを調べたり、通信内容を傍受したりする際には法律の縛りがある。具体的には、セキュリティやプライバシーに関するポリシーを文書化してそれにユーザーに同意してもらわなければならない。

こういう法律に関する事は一般人が独学で勉強しようと思っても無理があると思う。専門家に協力を仰ぐ事が必要になってくる。
例えばユーザーの

• 未読メールを検閲する場合
• 既読メールを検閲する場合
• 送信中のメールを傍受する場合

は全て関わってくる法律が異なるらしい。*1

他にも、社員の教育とかファイアウォールやIDSの設定とかログの取り方だとかインシデントが起こる前の準備など専門家に依頼するとかでなければ相当勉強しなければいけなさそうだ。

インシデントにあった際にサーバー管理者にできることは、

• 証拠を正しく取る
• さらなる攻撃を防ぐ
• システムの復旧を行う

など。簡単そうに思えて、これらもものすごく大変。
例えば証拠を取るためにバックアップを取ると、下手をするとファイルへのアクセス時刻などが更新されてしまう。
下手にセキュリティソフトをインストールしたりしたら、ウィルスなどの実行ファイルが削除されてしまって証拠が消えてしまう。特にそれが既存ウィルスの変種だったりしたら貴重な解析対象が消されてしまう。
使用された脆弱性が分からなければ攻撃を防げないし、バックアップからシステムを再セットアップしたところで同じ脆弱性が使われるだけ。

勉強不足な管理者は何もせずに専門家に連絡した方が賢明ですね。深刻なインシデントじゃない場合は勝手にケーブルを引っこ抜くことすらしないほうが良さそうです。