新米ネットワーク管理者の「やってはいけない」

第4回 あわてず,騒がず,防御しなくてはいけない

この記事を読むのに必要な時間:およそ 2.5 分

非常訓練を怠ってはいけない

ここまでこの特集でお伝えしてきたことを実践していれば,管理ネットワークの弱点把握はできていると思われるので,起こりうる脅威もある程度予想できるはずです。

しかし,実際に脅威が発生した際に対応がまごつくケースもでてくるでしょう。普段行わないことを突然実行しようとしたときほど,ミスは誘発されます。しばらく使わないで放置した充電池が放電されるため,必要になったときに使いたくても使えないのと一緒です。再充電するまで時間がかかったのでは有事の際に役に立ちません。常にいつでも使えるように準備しておくことが重要です。

そこで,いざという時に適切な行動が行えるように被害を受ける可能性のある事象を列挙し,それぞれの事象で被害が発生したことを想定した対処方法を確認しておきましょう。まずは何を一番に守るべきなのか重要度を設定した上で,影響範囲が大きいものを最優先し,影響が小さなものについては徐々に詰めていく形が望ましいでしょう。

その後,ある程度準備ができた段階で非常訓練を実施し,反省点の見直しや対処完了までの時間を測定した上で,非常時の対応マニュアルなどを作成することをお勧めします。特に上司への連絡や報告の手段,タイミングなどは明確にあらかじめ準備しておかないと,いざというときのタイムロスにつながります。

組織変更などで作成したマニュアル通りに行動できなくなることも考えられるため,このような非常訓練の実施や対応方法の見直しは,少なくとも年に1度は実施しておいたほうがいいでしょう。

いざというときに「これをやってはいけない」

対処方法の確認,手順のマニュアル化,非常訓練の実施などを行うことでかなり対応力は向上しますが,それでも「やってはいけない」ことがあるので,念のため確認しておいていただきたい。

事実を確認しないまま対応しない

情報漏洩の発生やボット,ワームに感染した際など,まずはその事実を確認しましょう。IDS/IPSなどを用いているからといって,通知レポートからのみ判断するのではなく,実際の状況(動作ログなど)を確認して確証を得ましょう。もしかしたらテストを行っているのかもしれません。証拠がないのに犯人を逮捕してしまっては意味がありません。被害に敏感になることは大事ですが,過度に反応してしまっては業務に影響をきたします。

対応時に現場を荒らさない

攻撃を受け,実際に情報漏洩などが発生していることを確認した際には素早く漏洩経路を切断しましょう。第一に対象のホストをネットワークから切り離すのが重要です。ただし,切り離しを実施した後はむやみやたらと調査,対処を行うべきではありません。該当のホストに残されている攻撃の痕跡(操作ログなど)が失われてしまう可能性がありますので,素早い対策は必要ですが,まずは原因の特定を急務とし,原因が特定できた段階で対処をはじめるべきでしょう。原因の特定が困難なようであれば,セキュリティ専門業者に依頼することも検討すべきでしょう。

組織のトップに報告を

どのレベルの攻撃であれ,被害を受けた際には報告を行うべきです。被害発生が現場の責任であれ,最終的な責任は組織のトップがとることが大半と思われますので,微々たる被害であっても定められたフローに従い,報告を行ったほうが無難です。

この場合に報告するためのフローが無いと対応が遅れます。対応の遅れがそのまま組織全体の損害につながる可能性もありますので,被害の重要度や種類に応じた報告方法を決めておきましょう。

まとめ

これまで4回にわたって新人管理者向けに基本的なセキュリティ対策から防御まで「やってはいけない」ことを中心に取り上げてきました。非常に多岐にわたる内容のため,戸惑ってしまいがちですが,ネットワークの管理は何も1人でやるものとは限りません(1人でやっている組織もあるでしょうが⁠⁠。仮に管理者があなた1人だったとしても,他部門と緊密にコミュニケーションを取りあっておくだけでも対策はスムーズに進みますし,いざというときの対応も素早いはず。

ネットワーク管理は,どこまでやっても心配のタネは尽きません。どんなに強固なシステムも人の誤った操作ひとつで綻びは発生しますので,この記事が管理者として間違った行動を取らないように意識するための一助となれば幸いです。

著者プロフィール

賀川亮(かがわりょう)

日々の情報収集と子供の成長監視に余念がない24時間365日体制でセキュリティ監視に勤しむJSOC(Japan Security Operation Center)所属の子持ちのセキュリティアナリスト。

株式会社ラック
URL:http://www.lac.co.jp/

JSOC
URL:http://www.lac.co.jp/business/jsoc/