セキュリティ事故対応における“オープンソース”活用法指南(応用・解析編):初動対応用データ保全ツール「CDIR Collector」解説(後編)(1/3 ページ)
セキュリティインシデントへの初動対応に役立つツール「CDIR Collector」の活用方法について解説する本連載。後編では、ネットワーク経由での利用や抽出したデータの解析方法などを紹介します。
前回は、インシデント発生時の初動対応の現状や、USBメモリを使って「CDIR Collector」でデータを保全する手順などを紹介しました。今回は設定のカスタマイズやUSBメモリ以外を用いた方法を中心に紹介していきます。
設定ファイル「cdir.ini」のカスタマイズ
CDIR Collectorではメモリとディスク内の主要データを取得することができますが、状況によっては「再起動されているためメモリは取得しても意味がない」「取りあえずイベントログだけを保全したい」といった場合もあるでしょう。そのようなときは、設定ファイルの記述を変更することで、取得対象を切り替えることができます。
cdir-collector.zipを展開すると、「cdir.ini」という名前のファイルが含まれていますが、このファイルが設定ファイルとして機能します。取得するデータにはtrue、しないデータにはfalseを設定します。実行時に取得するかしないかを選択したい場合は、コメントアウトします。以下はデフォルトのcdir.ini設定ファイルです。
MemoryDumpの項目が「;」で始まっていますが、これはコメントとして解釈されるため、MemoryDumpという項目は定義されていないことになります。この状態でCDIR Collectorを実行すると、物理メモリ(MemoryDump)を取得するかしないかを尋ねられます。
このように設定ファイルcdir.iniを編集することにより、インシデントの状況やインシデント対応チームの方針に合わせた柔軟な対応が可能となります。
利用シーンに応じた実行方法
CDIR Collectorの実行方法を大きく分類すると、「ローカル」「ローカルネットワーク」「インターネット(クラウド)」の3通りとなります。それぞれの実行時のイメージは以下の通りです。
ローカルについては、前回USBメモリを用いた方法を紹介しましたが、CD/DVDを使う方法もあります。以下でその方法を紹介し、その後で、ローカルネットワークとインターネット(クラウド)での利用方法を解説していきます。
CD/DVD実行(ローカル)
組織によってはUSBインタフェースに対して利用を制限していることがあります。筆者もインシデント対応の業務で何度か遭遇したことがありますが、よく見られる運用はUSBデバイスに対して読み込み処理のみ許可し、書き込み処理は許可しないという方針です。この場合、CDIR Collectorの実行(収集データの保存先)にUSBデバイスは利用できませんが、CD/DVDメディアの利用やデータの書き出しが許可されているのであれば、これらを使うことができます。
手順は前回のUSBメモリを使用した方法と大差ありませんが、ポイントは、CD/DVDメディアをUDFでフォーマットすることです。ブランクのメディアが認識されたら、そのドライブレターをダブルクリックして、「USB フラッシュ ドライブ と同じように使用する」を選択すればUDFでフォーマットされます。
そして、cdir-collector.zipを展開した後のファイル一式をCD/DVDメディアに書き込んでおきます。
インシデントが発覚した際には、保全対象にCDIR Collectorプログラムが入っているCD/DVDメディアを挿入します。このとき、念のためCD/DVDドライブのアイコンを右クリックしてプロパティを開き、「書き込み」タブの項目で該当ドライブが書き込み用として選択されていることを確認しておきましょう。
確認後、cdir-collector.exeをダブルクリックして実行してください。場合によってはCD/DVDへの書き込み処理時、Cドライブ配下などの所定の場所にバッファが自動的に作られ、書き込みが行われることがあります。バッファが作成されてしまうと、内蔵ディスクの未割当領域が上書きされてしまうため、バッファは作成せずに直接CD/DVDに書き込む方が望ましいといえます。
筆者が確かめた限りでは、Windows 7以上の環境で、前述のようにメディアをUDFでフォーマットしておけば、内蔵ディスクにバッファを作成することなく書き込みが行えるようです。ただし、Windowsの設定やCD/DVDドライブの設定によってはバッファが作成されてしまう可能性がありますので、その点を考慮した上でアクションを取ってください。
また、他の注意点として、CD/DVDメディアの容量に気を付ける必要があります。利用するメディアの種類にもよりますが、物理メモリを保全対象に含めると容量を超えてしまう可能性が高いため、搭載しているメモリサイズと保全先のメディア容量を確認して、場合によっては物理メモリの取得をスキップします。
関連記事
インシデント発生時のコストを最小限に抑えるデータ運用術
セキュリティ事故発生! 技術担当者は何をすべきか?
RSA Conference 2016に見る「可視化」「検出」「対応」を支援する製品たちCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。