JPCERT/CC、APT攻撃の対策ガイドを公開 - そのポイントは?

そして、インディケータを受け取った時は、それが侵入を発見するために詳細かどうかを判断する必要がある。もし十分でない場合は、外部組織などと情報を共有して、判断に必要な追加情報を得ることが重要になるという。

また、APTの活動が行われた場所を正確に特定するためにログが有効だとして、その保持についての留意点や種類が紹介されている。

ログの保持における留意点として、「長期間保持する」「すべてのログおよびセキュリティシステムのタイムスタンプを協定世界時(UTC)で構築する」「ログを一元的に集約する」「ログ保存ポリシーについて、ベストプラクティスなどを基に検討すべき」が挙げられている。

○第3章「インシデント対応プロセス」のポイント

佐藤氏は、「企業や組織は、自社のネットワークでAPTが活動していることを外部からの情報によりわかることが多い。そのため、ＡＰＴに関する通知が本物であるかどうかを検証する体制を整備しておく必要がある」と、インシデント対応において通知を検証する体制の重要性を指摘した。APT攻撃者に関する通知を受けたら、すぐにログおよび各種データを保護し、インシデント対応チームが活動するための準備を整えるべきだという。