www.youtube.com 「CYBER-KAWAII ACADEMY」がお送りする、平成27年度春期情報セキュリティスペシャリスト試験の徹底解説動画です。サクラ先輩とモモちゃんが、実際のセキュリティ運用センターに入ったつもりでインシデント対応をシミュレーションします。単なる用語の暗記ではなく、通信ログの追跡からマルウェアの挙動まで、実践的なデータの流れを追うスキルを楽しく学べます。 今回の動画で学習すべき重要なキーワードと概念について説明します。まず、インシデント発生時に感染したPCを特定するために不可欠なのがネットワーク技術の理解です。外部からの通信では組織の代表であるグローバルIPアドレスしか見えません。そのため、ファイアウォールのログを確認してNAPTによる変換前の社内IPアドレスを特定する必要があります。しかし、IPアドレスはDHCPサーバによって動的に割り当てられるため、それだけでは端末を断定できません。確実にその端末を特定するための指紋として、物理的なMACアドレスを突き止める手順を理解することが重要です。 次に、ファイアウォールのログに残らない見えない通信の謎を解明するための知識です。マルウェアがC&Cサーバに接続しようとしても、DNSによる名前解決に失敗した場合、TCPやIPの接続要求となるパケット自体が生成されません。パケットが生成されなければファイアウォールは検査できず、結果としてログにも残らないという仕組みを把握しておく必要があります。通信の痕跡がないからといって安全だとは限らないという点に注意が必要です。 さらに、被害の拡大を防ぐための止血処置として、攻撃者の司令塔であるC&Cサーバへの通信をどう遮断すべきかも重要です。IPアドレスで遮断しても、攻撃者はすぐに変更してしまうため効果が薄い場合があります。ドメイン名は変わりにくいという特性を活かし、プロキシサーバでC&CサーバのURLをブラックリストに設定するURLフィルタリングが有効な対策となります。 また、攻撃者が組織内部で感染を広げるラテラルムーブメント、すなわち横展開の手法についても学びます。攻撃者は管理者権限を奪取し、パッチの自動配信などに使われるファイル配信サーバのような、多くの端末にアクセスできるハブとなる重要サーバを狙います。これにより、全社員のPCへマルウェアを一斉にばら撒く危険性があることを認識しなければなりません。 そして、サービスを停止できない重要サーバに不正アクセスの痕跡があった場合、改ざんされていないかをどう証明するかも問われます。電源を切ってフォレンジック調査ができない状況では、外部から操作できないように守られた受信専用のログ管理サーバに保存されている過去のバックアップログと、サーバ上の現行ログを突合して比較することで、真実を証明できるというログの重要性を理解してください。 最後に、過去の試験問題の知識だけでなく、現代のセキュリティ運用に欠かせない最新技術も紹介しています。ネットワークログだけでなく端末内の不審な挙動を即座に検知して隔離するEDR、社内だから安全という前提を捨て多要素認証や振る舞い検知で不正を防ぐゼロトラストアーキテクチャ、そしてURLブロックやログ調査を自動化して数秒で対応を完了させるSOARなど、これらの技術が現代のインシデント対応をどのように迅速化しているかについても併せて学習します。