緊急対応サービス
緊急対応サービスは、情報セキュリティ事故・異変などの初動対応として、利用端末のデータの保全、脅威の特定・把握、対応計画の早期立案などのインシデントレスポンスを支援します。マルウェア感染やサイバー攻撃、Webサイト改ざん、情報漏洩などのセキュリティ事故が発生したときはGSXにご連絡ください。
緊急対応サービスは、情報セキュリティ事故・異変などの初動対応として、利用端末のデータの保全、脅威の特定・把握、対応計画の早期立案などのインシデントレスポンスを支援します。マルウェア感染やサイバー攻撃、Webサイト改ざん、情報漏洩などのセキュリティ事故が発生したときはGSXにご連絡ください。
-
マルウェア感染
ウイルスもしくはマルウェア感染の疑いがあり、緊急対応が必要
-
不正アクセス
(サイバー攻撃)外部からの不正アクセス(攻撃)と思われるログを多数検出した
-
情報漏洩
社内の機密データが外部サイトに掲載されている。内部情報が漏洩している。
インシデントコラム
- 情報セキュリティ領域のコンサルティング事業を展開するGSXには、さまざまなケースの対応ノウハウが豊富にあります。
- さまざまなサイバー攻撃の脅威を知る専門エンジニアが対応します。
- 弊社以外からご購入された製品・サービスでも対応可能です。
初動対応/インシデントレスポンス
- お客様より状況をヒアリングし、原因や想定範囲を推測した上で被害拡大防止に関するアドバイスを行います。
調査・解析
- 調査用データを収集し解析します。
暫定対策の実施支援
- 調査・解析の実施と並行して、お客様の事業へのダメージを抑える施策の実施を支援します。
報告
- 重要事項検出時に速報として検出事項をご報告します。調査・分析、暫定対応が完了した後に、一連の事項について報告書を作成の上ご報告します。標準で、調査開始から1週間程度で報告会の開催となります。
アフターフォロー
- 報告書の記載に関する質問についてご返答します。(報告会実施から1か月後まで)
その中でもご依頼頂くケースの多い代表的な事例を以下に参考として記載致します。
| No. | 種別 | サービス内容 | 概算費用 |
|---|---|---|---|
| 1 | デジタルフォレンジック |
マルウェア感染した、または感染が疑われるコンピュータを当社の調査用 ツールを用いて、感染経路・マルウェアの挙動・影響範囲などの調査・解析 を行い、報告書を提出いたします。 |
個別見積 | 2 | Webサイト改ざん調査 |
Webサイトが改ざんされた際、当該サーバーおよびファイアウォールなど 関連機器のログの調査・解析を行い、調査報告書を提出いたします。 |
3 | アドバイザリー |
インシデント対応に関するアドバイスを実施いたします。 例.技術的な調査、経営層への報告、公表内容、再発防止 |
遠方にも関わらず迅速に対応頂けた。その後の対策としてログ収集、エンドポイント強化(EDR導入)もGSXさんにご支援いただき、インシデントに備えるシステムが構築できたと思う。
大手SIerに相談したがなかなか迅速な対応をしてもらえずGSXさんにお願いした。長きに渡り復旧に携わって頂き、助かった。その後の対策についてのアドバイスも的確であった。
Webから問い合わせし、すぐに対応頂けたので助かった。情報漏洩の可能性についてははっきりしなかったが、ログ取得など、システム整備を進めて行きたい。
すぐに対応いただいたので助かった。今回のインシデントを起因に、システム的に弱いところを見直して行く良い機会になった。
調査の流れ
調査の流れは、以下の通りです。
No. |
調査用データ取得
|
|
No. |
フォレンジック調査(調査対象OS、調査目的等により調査内容は異なります)
|
|
No. |
報告
|
|
No. |
アフターフォロー
|
|
調査用データの取得形式と役割分担
調査用データの取得形式と役割分担は、以下の通りです。
| 機器種別 | OS | コンピューターの 状態 |
提供方法とデータ形式 | 役割分担 | |
|---|---|---|---|---|---|
| 貴社 | 当社 | ||||
| デスクトップ、 ノート |
Windows | 起動状態 |
・FTK Imagerを使用して、ディスク(raw形式)およびメモリを保存 ・取得したイメージを発送※ |
● | |
| 停止状態 | ・HDDまたはPC本体を発送 | ● | |||
| 物理サーバ (非RAID構成) |
Windows、 Linux |
起動状態 |
・FTK Imagerを使用して、ディスク(raw形式)およびメモリを保存 ・取得したイメージを発送※ |
● | |
| 停止状態 | ・HDDを発送 | ● | |||
| 物理サーバ (RAID構成) |
Windows、 Linux |
起動 or 停止状態 |
・FTK Imagerを使用して、ディスク(raw形式)およびメモリを保存 ・取得したイメージを発送※ |
● | |
| 仮想サーバ | Windows、 Linux |
起動状態 |
・スナップショット取得 ・スナップショット関連ファイルをvmdkまたはovf形式でエキスポート ・エキスポートしたイメージを発送 |
● | |
| 停止状態 |
・ディスクイメージをvmdkまたはovf形式でエキスポート ・エキスポートしたイメージを発送 |
● | |||
| 特殊(ATM等) | Windows Embedded |
起動 or 停止状態 | 個別対応。 | - |
●主担当 (作業実施者) |
※ データ量が10GB以下の場合は、当社のファイル転送サービスをご利用いただけます。
データ保存用のポータブルディスクを貸与することも可能です。
報告書イメージ
調査の流れ
調査の流れは、以下の通りです。
No. |
調査用データ取得
|
|
No. |
調査データの取込みと調査実施(検出事項により調査内容は異なります)
|
|
No. |
報告
|
|
No. |
アフターフォロー
|
|
調査用データの取得形式と役割分担
調査用データの取得形式と役割分担は、以下の通りです。
| 調査対象の環境 | 対象領域 | 提供形式 | 役割分担 | |
|---|---|---|---|---|
| 貴社 | 当社 | |||
| オンプレミス環境 | ディスク全体 | raw形式 | ● | |
| 仮想環境 | ディスク全体 | vmdkまたはovf形式 | ● | |
| SaaS環境 (管理画面へのアクセスを許可 いただけない場合) |
Webサーバのアクセスログ、エラーログ、 FTP、SSHのアクセスログ |
テキストデータをzip形式 | ● | |
| SaaS環境 (管理画面へのアクセスを許可 いただける場合) |
Webサーバのアクセスログ、エラーログ、 FTP、SSHのアクセスログ |
- | ● | |
| WAF、Firewall等 | アクセスログ等 | テキストデータをzip形式 | ● | |
※ データ量が10GB以下の場合は、当社のファイル転送サービスをご利用いただけます。
データ保存用のポータブルディスクを貸与することも可能です。
報告書イメージ
- ハードディスクの暗号化は、事前に解除願います。 事前に解除できない場合は、復号化キーの提供をお願いします。
- 作業は、当社内で実施いたします。
- マルウェアがログを削除していたり、ログローテーション等により適切なログが存在しない場合は、十分な解析ができない可能性がございます。
- 首都圏以外の場合、発生した交通費、宿泊費を別途請求させていただきます。
- 取得した情報は調査終了後に完全に消去いたします。
- 調査に必要な情報のご提供をお願いします。ご提供いただく情報の例を以下に示します。
- インシデント発生時から現在までの、発生事象、対応事項を時系列に記載した資料
- 該当するシステムおよびネットワーク構成図
- 調査対象となるログの形式、出力項目
- 調査対象コンピュータのアカウント情報
