情報処理推進機構(IPA)は2023年1月20日、サイバー攻撃によって企業が被る金銭的損失(事故対応費用や賠償費用、利益損害、金銭損害、行政損害、無形損害など)を計算する支援ツール「NANBOK」(Next-generation-scenario in Assembled Notes for security administrator with Bill calculator Optimized by Kawamura model)を公開した。担当者や経営層がセキュリティ対策に必要となる予算を算出する上で有益なデータとして利用できる。 サイバー攻撃が事業継続に及ぼす影響は多くの企業にとって無視できないものになっている。しかし、どの程度の予算をセキュリティ対策にかければよいのか、根拠となる試算が困難であり、適切な取り組みを阻害する要因になっている。今回IPAから公開されたツールは、こうした
企業でセキュリティーインシデントが発生した際に、対応するチームをCSIRT(Computer Security Incident Response Team、シーサート)と呼ぶ。大規模な組織が常設する「セキュリティーの専門チーム」と思われがちだが、ネットワーク技術者も無関係ではない。インシデント対応にはネットワークが深く関わる作業も多いからだ。CSIRTを冠さずともネットワーク技術者が実質的にその役割を果たす場合もある。 一方でCSIRTの役割がただ「インシデント対応」と言われても、具体的に何をすべきなのかピンとこない。今回、機会を得て記者は「インシデント対応講習」に参加した。インシデント対応に臨むなかで何を考えどう動いたか、CSIRTの役割をどう捉えたかを伝えたい。 セキュリティーの中心的役割 まずCSIRTの役割を整理しておこう。CSIRTはインシデントに関する様々な情報収集や有事の対
JSer.info #574 - Improving Core Web Vitals, A Smashing Magazine Case Studyという記事では、Smashing MagazineのCore Web Vitals(LCP/FID/CLS)のスコアをどのように改善していったかについて書かれています。 Core Web VitalsはGoogle検索の指標に使われています。 また、Google Search Consoleでは、グローバルなChromeユーザーからのCore Web Vitalsのスコアを確認でき、この値はChrome User Experience Report のデータを元にしています。 サイトのLCPの改善をしたところ、なぜかGoogle Search Consoleの結果は改善されなかったという問題を掘り下げていったという内容になっています。 Smas
こんにちは。Cy-SIRT(Cybozu Security Incident Response Team)の中井戸です。 今回は、社内で実施したインシデント対応訓練の様子をお届けします。 Cy-SIRTとは Cy-SIRTは、社内の情報セキュリティインシデントに対応するチームで、社内では「セキュリティ室」として活動しています。 インシデントに備え、事前に体制や対応フローを構築し、情報セキュリティに関わる脅威情報の収集や分析、検知後の対応などを行う平時の活動のほか、インシデントが発生した場合の各部門への連携、調査を行う有事の活動を行っています。 弊社製品の脆弱性の対応などを行っている開発本部PSIRTチーム(Cy-PSIRT)と併せてCy-SIRTと呼んでいます。 今回のインシデント対応訓練は、セキュリティ室とPSIRTの合同で事務局を担い、開催しました。 訓練の流れ インシデント対応訓練は
本連載では、近年トレンドの標的型ランサムウェア攻撃への対応について、インシデント対応の現場で思うことや組織がより良く準備するための推奨策などを筆者の知見や体験談を踏まえて解説しています。 前編ではインシデント対応現場で重要な考え方についてお伝えしました。今回は“技術的対応”に絞って解説していきます。筆者は技術的な調査を専門とするコンサルタントであるため、法務や公報といった観点からの見解を示せませんのでご承知おきください。 インシデント対応現場に求められる“3つの技術” ここからは「調査」「復旧」「準備」のテーマに絞って技術的対応を解説します。 1.調査 前編ではインシデント発生時には「何が起こったかを調査することが重要」と強くお伝えしてきましたが、これは具体的にはフォレンジック調査と呼ばれます。フォレンジックの古くからある手法としてはエンドポイントからHDDを取り出して全体イメージコピーを
はじめに 最近、本番環境のシステムの一部移行にあたって、Datadogを利用した監視設計と監視環境の整備を行う機会がありました。 その際の気付き・学びなど振り返りも兼ねて、久しぶりにこのブログを書いています。 特に今回は、アラート対応といった運用プロセスを他チームに移管したこともあり、インシデント対応に少しフォーカスした内容になっています。 (概念的な話がメインとなっており、内容自体はある程度一般化してまとめています。) 監視の基本 前提となる部分で押さえておきたい概念・考え方を記載しておきます。 基本的には「入門 監視」に書いてあることがベースになっています。 www.oreilly.co.jp 正常状態の把握 大前提として、CPU使用率など監視項目の観点で「正常に動いている」とはどういう状態かを定義する必要があります。 特定のAgentやサービスなど稼働を前提とするものがあれば、それも
[レポート]運用してわかった SIEM on Amazon OpenSearch Service の構築とインシデント対応の実際 – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow | DevelopersIO
こんにちは、臼田です。 本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。 運用してわかった SIEM on Amazon OpenSearch Service の構築とインシデント対応の実際 freee PSIRT では、SIEM on Amazon OpenSearch Service を用いて、サービスのセキュリティを維持する業務を遂行しています。本セッションでは、1 年前に freee PSIRT が抱えていた課題とその解決方法、SIEM の構築や運用を行う上で注意すべき点、実際の incident 対応の例、残る課題今後の展望をご紹介します。 Freee株式会社 PSIRT Tech Lead 杉浦 英史 氏 レポート freeeの紹介 SaaSで会計サービスを提供 会社のバックエンドを支えるサービスも沢山提供している スモ
![[レポート]運用してわかった SIEM on Amazon OpenSearch Service の構築とインシデント対応の実際 – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b89664b8a366e0a34302d551333f777917d350c9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F11%2FAWS_Security_Roadshow_Japan_2021_logo.jpg){kind=logo}
インシデント対応とその管理
はじめに これはSRE Advent Calendar 2021の12/19記事です。 先日はSRE Lounge #13 にて Embedded SREs について取り上げました。 今回はインシデント管理について取り上げたいと思います。 誰かのお役に立てれば幸いです。 SREのインシデント管理についての記事は今までも多く出ています。 よって基本的な説明は他の記事をご覧いただくほうが良いと考え、本記事では以下にターゲットを絞っています。 本記事で取り上げること インシデント管理に取り入れて良かったこと 失敗例 インシデント管理ツールについて 選ぶ上でのポイント SaaS OSS 本記事で取り上げないこと インシデント管理の基礎 ITIL における問題管理とインシデント管理の話 AIOps 想定読者層 インシデント管理の基礎理解者 SREs以外のエンジニアを含む インシデント管理に取り入れて
株式会社 Topotal(代表取締役:髙村 成道、本社:東京都江東区)は、インシデント対応の準備から対応中、対応後のすべてのフェーズで、Site Reliability Engineering のベストプラクティスに基づいたワークフローを提供する Waroom オープン β ( https://waroom.com/ )の提供を開始します。 Waroomオープン β 提供の背景 2016年に Google から Site Reliability Engineering(以下、SRE) が提唱され、多くの IT 企業が SRE を用いてシステム管理やサービス運用の改善と効率化を実践するようになりました。しかし、インシデント対応の分野においては未だ改善の余地のあるワークフローから脱却できずにいる企業が数多くいます。 インシデントが発生すると事業の機会損失を産むだけではなく、ブランドイメージの
[CircleCIのセキュリティインシデント対応] Railsのmaster keyをローテーション(再生成)する - Qiita
大した情報ではないですが、 circle ciでRailsを使っている人への注意喚起になればと思います。 話の発端 2023/04/01 CircleCIで管理しているセキュア情報が漏洩したかもらしい 環境 Ruby on Rails: 7.0.2 Ruby: 3.1 ruby:3.1.0 をベースイメージにしたコンテナ内で作業 再生成していく 今回は例として、production用のcredentialsを再生成します。 ① 現状のcredentialsをメモする # 現状のcredentialsをメモ帳などにコピー $ rails credentials:show -e production db: username: hoge password: huga
![[CircleCIのセキュリティインシデント対応] Railsのmaster keyをローテーション(再生成)する - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/73a34a0222e12ce1e57f2a27e10fe487af98b19d/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQ2lyY2xlQ0klRTMlODElQUUlRTMlODIlQkIlRTMlODIlQUQlRTMlODMlQTUlRTMlODMlQUElRTMlODMlODYlRTMlODIlQTMlRTMlODIlQTQlRTMlODMlQjMlRTMlODIlQjclRTMlODMlODclRTMlODMlQjMlRTMlODMlODglRTUlQUYlQkUlRTUlQkYlOUMlNUQlMjBSYWlscyVFMyU4MSVBRW1hc3RlciUyMGtleSVFMyU4MiU5MiVFMyU4MyVBRCVFMyU4MyVCQyVFMyU4MyU4NiVFMyU4MyVCQyVFMyU4MiVCNyVFMyU4MyVBNyVFMyU4MyVCMyUyOCVFNSU4NiU4RCVFNyU5NCU5RiVFNiU4OCU5MCUyOSVFMyU4MSU5OSVFMyU4MiU4QiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMUUyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9NmRlZWNiNDRkOGE2ZTcwNjY4Nzk0ZTZiM2UxNDNlZWE%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDB0aWthcmFuaW1hcnUmdHh0LWNvbG9yPSUyMzFFMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWQwODk1ZGEzNWJmNzNiZmZhNzYxOTlkZGM2YWQyMWY2%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D1f16c9798c708efe5d0866a1cbce8893)
2020年12月17日に開催されたマイナビニュース スペシャルセミナー「2020年のインシデントを振り返る」において、「今すぐ見直せる! 最新版インシデント対応を改善する10の方法」と題するセッションに登壇したのが、セキュアワークス株式会社 マーケティング事業本部 主席上級セキュリティアドバイザー 古川勝也氏だ。 セッションでは、同社独自のセキュリティ調査レポートを基に、現状の傾向と今後の対策について解説が行われた。 脅威レベルはパンデミック発生前後で大きな変化なし 1999年に米国アトランタで創業したセキュアワークスでは、数千億件/日という膨大な数のセキュリティイベントを監視し、そこから得られたインテリジェンスや情報を活かした各種サービスを提供している。現在、4100社以上で24時間常時セキュリティ監視を行っており、年間で対応するセキュリティインシデントは1300以上に上るという。 同社
インシデント対応を迅速化するセキュリティ強化策とは 横河電機では、グローバルで導入しているITシステムの統合管理と、セキュリティ監視やITガバナンスの強化が課題になっていた。また、外部委託していたIDS(不正アクセス監視装置)監視だけではサイバー攻撃のタイムリーな検知や対処が難しいという問題もあった。 そこで同社は、グループ全体のセキュリティを強化するため、2018年4月にインドのバンガロールを拠点にY-SOCを開発。現在までに世界15カ所を対象にセキュリティ監視を行っているY-SOCでは、ITシステムのイベントやセキュリティログを収集し、疑わしい通信やイベントの検知・分析、自動検知プログラムを開発し、自動的なアラート通知を実施している。 関連記事 Now Platformの最新版「Rome」リリース ハイブリッドワーク向け新機能を実装 ServiceNow Japanは、Now Plat
はじめに みなさん、こんにちは。 プロモーション・デザインユニット(以下プロモ・デザインU)の竹内・牧山・安田です。 今回はプロモ・デザインUの目標の一つである「プロモーション業務でのNOインシデント対策」をデザインサプリ(社内勉強会)で報告してきました。 プロモ・デザインUの活動について詳しく知りたい方は👉過去の記事をご覧ください! プロモ・デザインUのOKR(目標)の記事はこちら tech-blog.optim.co.jp 社内デザイン勉強会「デザインサプリ💊」の記事はこちら tech-blog.optim.co.jp はじめに プロモーション業務でのNOインシデント対策 ヒヤリハット収集 インシデント発生後の対応フロー インシデント対応訓練の実施 訓練当日の流れ 訓練の振り返り まとめ おわり プロモーション業務でのNOインシデント対策 前述した通り、プロモ・デザインUではWeb
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 名古屋港のコンテナーターミナルで運用されている「名古屋港統一ターミナルシステム」(NUTS)システムが7月4日にランサムウェア攻撃を受けて、全ターミナルの作業が停止に追い込まれるなどの被害を受けたインシデントについて、同システムを管理する名古屋港運協会が26日、対応の経緯を明らかにした。 インシデントは、同4日午前6時半頃に発生。データセンター内のNUTSの全サーバーが暗号化された。協会は、愛知県警察やシステム保守会社らと連携して対応に当たり、同6日午後6時15分にターミナルの作業を再開させた。愛知県警やシステム保守会社の見解でインシデントは、ランサムウェアの感染が原因だと判明した。感染の経緯は、NUTSへリモート接続するための機器に存
「インシデント対応」とは? インシデント対応とは、ITシステムの運用において「ユーザーが正常にサービスを利用できない状態」が発生した際に、迅速にシステムやサービスを復旧させるための取り組みを指します。一方で「インシデント」は、将来的に重大な事件に発展する可能性のある事象、小さな事件を意味します。 つまり、ユーザーの操作ミスからシステム障害まで、幅広い事象がインシデントに含まれます。たとえば、ユーザーがパスワードを連続で誤入力してアカウントがロックされたり、システムのライセンスが切れてエラーが表示されたりする状況などもそうです。 一方、セキュリティ分野では「セキュリティを脅かす恐れのある事象」をインシデントと呼びます。具体的には、不正アクセスによる情報漏えいや改ざん、サイバー攻撃やマルウェア感染によるシステム異常などが該当します。 現代社会では、あらゆるサービスがITシステムに依存しているた
“適切な対応”を選ぶことでシナリオが進む仕組み 組織連携コース_メタバース演習は、経営層やマネジメント層のメンバーが4人1組となり、各人のPCからメタバースの“演習室”にアクセスして、約2時間の机上演習を実施する形式だ。 大日本印刷は「インシデント発生時は、情報システム部門に加え、被害を受けた事業の継続判断を行う事業部門、ステークホルダーへの状況の説明を担う広報部門など、複数部門間の連携と判断、対処が必要だ。防災訓練や避難訓練と同様に、サイバー攻撃の被害を想定し、机上演習を事前に実施するなど、平時からの備えが不可欠だ」としている。 関連記事 意外と知らない“サイバーセキュリティの業務定義”を再整理 自社にとって何が必要かを定義するには? サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第3回は、企業、組織においてサイバーセキュリティに
プロダクトセキュリティ部の西川(id:cw-nishikawa)です。 好きな言葉は「sounds good」です。 先日、Chatworkのプロダクトセキュリティ部内でインシデント対応演習(机上)をおこないましたので、そのことについて今回は書きたいと思います。 インシデント対応演習の目的を明確化する 今回の演習ではプロダクトセキュリティ部のメンバーの対応能力の向上やインシデント対応フローの確認を目的として実施しました。 目的を明確化することにより、演習中にインシデント対応フローに沿って行動することになりますが、 フローに不備があったりすると気付いたり、もっとこうしたほうがよいのではないか、という改善の意識が生まれるようになり、気付きに繋がっていくと思います。 ただ、漠然と実施してしまうと、「これなんのためにやってるんだっけ?」となってしまうので注意が必要です。 シナリオを考える シナリオ
(2)(3)の可視化にかかわる取り組みや(4)(5)の「準備」にかかわる取り組みを進め、基本対策であるセキュリティポリシー、運用ルールを定義する。そして、実際の運用とその結果を分析する。こうしたPDCAによって、基本対策が強化されていくわけだ。 ただ、こうした取り組みは、実運用で大きな問題に直面することとなる。古川 氏は、この問題が "基本的な体制づくりを困難にさせる要因" だとし、次のように説明する。 「一般的なセキュリティ運用の仕事は、脅威の判定、脅威の調査、意思決定、対応という4つのステップで構成されます。この中で意思決定は、もっとも管理者がリソースを費やすべき事項となります。意思決定の正確性や迅速さが、被害を最小限に食い止めることや基本対策の強化に直結するからです。ただ、実状は違います。意思決定の前段にある脅威の判定と調査に多大な時間と手間をかけざるをえないために、運用者は意思決定
カスペルスキー、2019年にインシデント対応したサイバー攻撃の分析結果を発表 - SecurityInsight | セキュリティインサイト
2020/09/17 10:00 SecurityInsight カスペルスキーは9月11日、同社のグローバル緊急対応チーム(GERT)が2019年にインシデント対応したサイバー攻撃を分析したところ、その約30%で正規のリモート管理運用ツールが使用されていることが分かったことを発表した。 攻撃者は正規のツールを使用することで、より長い間、検知を免れることができる。分析の結果、サイバースパイ攻撃と機密情報窃取の持続期間は122日(中央値)だった。カスペルスキーの「インシデント対応分析レポート」(英語)では、実際のインシデント対応をもとにした分析結果を報告している。 GERTがインシデント対応(IR)した際の匿名化されたデータを分析したところ、18種類の正規ツールが攻撃者によって悪用されていた。最も多かったのはPowerShell(25.4%)で、これは極めて便利なスクリプト言語だが、情報収集
インシデントマネジメント 事態収拾のための取り組みに迫る Lunch LT でお話しした資料です
CSIRT構築もインシデント対応に6割「自信なし」 絶対に後手にしてはいけない3要素とは(ビジネス+IT) - Yahoo!ニュース
企業のセキュリティ・インシデントの増加に伴い、迅速かつ適切に対応するための組織「CSIRT(Computer Security Incident Response Team:シーサート)」の重要性が高まっている。しかし、セキュリティの対象範囲が年々広がるとともに、問題が複雑化する中で、自社でインシデント対応できるのかと不安を抱いている企業が多いのも現状だ。インシデント・レスポンスはなぜ難しいのか、その「漠然とした不安」を払拭するため、ガートナー シニアディレクター,アナリストの矢野薫氏が解説する。 【詳細な図や写真】個別の視点から全体を俯瞰できるような視点を持つことが重要(出典:Gartner(2023年7月)) CSIRT設置もインシデント対応には「自信がない」ワケ ガートナーのユーザー調査では、日本企業の56%がCSIRTを設置していると回答した。CSIRTを設置している企業のうち、「
Hardening 2020 H3DXから学ぶ「インシデント対応訓練」の重要性 - ZOZO TECH BLOG
こんにちは。SRE部の横田・秋田です。普段はZOZOTOWNのリプレイスや運用に携わっています。 私たちは2020年11月13日から14日にかけてフル・オンラインで開催されたHardening 2020 H3DXに参加しました。本記事では、過去にオフライン開催のHardening Projectに参加経験のある秋田と、今回が初のHardening Project参加となった横田の体験を振り返り、「サービスを守る訓練」の重要性を再確認してみます。 Hardening 2020 H3DXについて WASForum Hardening Projectにより開催されたイベントです。 Hardening 2020 H3DXは技術競技会であるHardening Dayが1日、全参加チームの施策発表などを聴講形式で進行するSoftening Dayが1日という、合計2日の2部構成で開催されました。 それ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インシデント対応にかかる費用はいくら? IPAがセキュリティ費用を可視化するツールを公開
CSIRTは緊急時にどう動く?1日がかりのインシデント対応講習に参加してみた
2022-01-11のJS: グローバルなサイトにおけるCore Web Vitals、2021 JavaScript Rising Stars、colors.jsのインシデント対応
インシデント対応訓練レポート - Cybozu Inside Out | サイボウズエンジニアのブログ
インシデント対応はとにかく“準備がものをいう” 注意すべき2つの観点
インシデント対応を見据えた監視設計で考えたこと - taxin's notes
SREのベストプラクティスに基づいたインシデント対応ツール Waroom オープン β を提供開始
増加するサイバー攻撃に対抗せよ! 今すぐ見直せるインシデント対応策
横河電機、セキュリティ運用基盤にServiceNowを採用 インシデント対応を30%効率化
インシデント対応訓練をやってみた - OPTiM TECH BLOG
名古屋港のランサムウェア被害、インシデント対応の経緯を公表
インシデントとシステム障害は何が違う? 「インシデント対応」の基礎を再復習
セキュリティインシデント対応の“ヒリヒリ感”をメタバースで体感できる演習 大日本印刷が開発
インシデント対応演習のススメ - kubell Creator's Note
CSIRT ⼈材の育成 | ⼀般社団法⼈ ⽇本コンピュータセキュリティインシデント対応チーム協議会
アライドテレシス、体験型のインシデント対応教育・訓練コースを提供開始 Webサイト改ざん攻撃編など6種類を用意
年間1,000 件以上のインシデント対応から紐解く、セキュリティ運用の要点
手を動かさないインシデント対応〜自動化で迅速・正確な運用を目指す〜