社内システムにマルウェアが侵入、そのときあなたはどうする?
演習は架空の組織「株式会社サイダー」のシステムにマルウェアが侵入したというシナリオで行われた。シナリオの前提条件は次の通りである。
シナリオの前提条件
- 機密情報が多いため、ネットワークは研究開発用と業務用、基幹系の3つに分割され、端末にはDHCPサーバによってIPアドレスが動的に割り当てられている
- インターネットへの接続にはDMZ(DeMilitarized Zone:ネットワーク外部と内部の中間領域、非武装地帯)を設け、外部への通信はプロキシサーバを経由して行っている
- 株式会社サイダーは外部SOC(Security Operation Center)業者にセキュリティ関連業務を委託している
- プロキシサーバはSOC業者が監視しており、インシデント発生時には株式会社サイダーのCSIRT窓口に通報する
この前提を図で示すと次のようになる。
図2 演習の登場人物と登場機関(受講者は総務部情報管理課CSIRT担当者の役割)
そこで次のようなインシデントが発生した。