インシデントレスポンスサービス

ビジネスを取り巻く環境の変化に伴い、企業は様々なインシデントの驚異にさらされています。近年、紙面を騒がした事例だけでも企業が抱える情報セキュリティリスクは、マルウェア感染、ビジネスメール詐欺、サポート詐欺、APT (Advanced Persistent Threat) による情報窃取など枚挙に暇がありません。

 

また、フィッシングメールや不正アクセスから認証情報が漏れた後、その情報を不正使用され、本来被害者であったはずの組織が攻撃の踏み台として攻撃に加担させられる可能性も増えています。

本サービスでは、インシデントが発生した PC やストレージデータ、メモリ、その他関連するネットワーク機器のログデータから情報を収集・調査し、インシデントの発生原因の究明や被害範囲の特定を行います。

 

 

サービスの特徴

インシデントレスポンスサービスでは、インシデント内容やお客様の状況、調査が必要な範囲等に応じて以下のサービスを提供します。

• ファスト・フォレンジック
  調査項目を限定して証拠データの収集を行い、即応性が求められる項目に限定して短期間での調査を実施します。具体的にはイベントログ、レジストリ、メモリなどの定型的にインシデント関連のアーティファクトが多く残される情報に注力し、対象機器のマルウェアの稼働状況、自動実行の有無や攻撃試行の有無などを比較的短期間で調査することが可能です。
• フル・フォレンジック
  従来型のディスク全領域の保全・調査を通じて、インシデントの根本原因や全体像、影響範囲の特定を行います。削除データの復元などを通じてファスト・フォレンジックでは把握できなかった過去の被害状況等も確認できる可能性があります。また、必要に応じてネットワーク機器のログやサードパーティの操作ログなどとの紐付けを行い攻撃者による横展開の状況、組織内の他の被害 PC などを把握し、得られた情報を元に今後の内部対策などに活かすことが可能です。

 

 

サービス提供例

• メール等の添付ファイルを開いて誤ってマルウェアに感染してしまった際の影響調査
• Web サイトの閲覧に伴う、マルウェア感染の原因調査
• アンチウイルスによる各種アラートの原因調査、影響範囲の特定
• プロキシ、ファイアウォールなどによる不審な通信の検知
• 社内ネットワークに対する外部からの不正ログイン原因の調査

 

 

調査対象デバイス

• Windows PC
• Mac
• Linux 系
• クラウド (AWS、Azure、各種VPS)
• スマートフォン (Android / iPhone / Windows Phone)
• 各種サーバー (ファイルサーバー、Web サーバー、DB サーバー、NAS)
• 外部接続デバイス (USB ドライブ)
• ネットワーク機器 (プロキシサーバー、ファイアウォール、UTM)

 

 

調査期間

調査に要する時間は、事案ごとに異なるため、インシデント発生状況等のヒアリングを通して決定しますが一般的な調査の1台あたりの目安は以下の通りです。

• ファスト・フォレンジック: 1週間 (5-7営業日) 程度
• フル・フォレンジック: 3週間 (15営業日) 程度