マルウェア感染後の対処法を学ぶ“サイバー攻撃の防災訓練”とは：イベントレポートアーカイブ（2/3 ページ）

[土肥正弘，ドキュメント工房]

社内システムにマルウェアが侵入、そのときあなたはどうする？

　演習は架空の組織「株式会社サイダー」のシステムにマルウェアが侵入したというシナリオで行われた。シナリオの前提条件は次の通りである。

シナリオの前提条件

• 機密情報が多いため、ネットワークは研究開発用と業務用、基幹系の3つに分割され、端末にはDHCPサーバによってIPアドレスが動的に割り当てられている
• インターネットへの接続にはDMZ（DeMilitarized Zone：ネットワーク外部と内部の中間領域、非武装地帯）を設け、外部への通信はプロキシサーバを経由して行っている
• 株式会社サイダーは外部SOC（Security Operation Center）業者にセキュリティ関連業務を委託している
• プロキシサーバはSOC業者が監視しており、インシデント発生時には株式会社サイダーのCSIRT窓口に通報する

　この前提を図で示すと次のようになる。

図2 演習の登場人物と登場機関（受講者は総務部情報管理課CSIRT担当者の役割）

　そこで次のようなインシデントが発生した。