ロリポップ固定IPアクセス byGMOペパボ
インシデント発生時のアクセス遮断手順:固定IP許可リストを使った初動対応

インシデント発生時のアクセス遮断手順:固定IP許可リストを使った初動対応

基礎知識

インシデント発生時のアクセス遮断手順:固定IP許可リストを使った初動対応

はじめに

セキュリティインシデントは、適切な初動対応ができるかどうかで、被害が数十倍に拡大する可能性があります。 特に、不正アクセスや情報漏洩が疑われる場合、「いかに素早く、正確に対応するか」が明暗を分けます。

本記事では、インシデント対応 アクセス遮断 を中心に、IP許可リスト 運用 を活用した初動対応の手順を詳しく解説します。 セキュリティ強化 に向けた実践的な内容となっています。

⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!

セキュリティインシデントの分類と初動対応

インシデント対応の基本フレームワーク

NIST(米国国立標準技術研究所)は、インシデント対応を4つの段階に分けています:

本記事では、特に第3段階の「対応」におけるアクセス遮断手順に焦点を当てます。

インシデント対応 の種類別初動

不正アクセスが疑われる場合

【直ちに実行すべき対応】

  1. 疑わしいアカウントのパスワード変更を強制 ↓
  2. 該当アカウントのセッションをすべて強制終了 ↓
  3. 不正と思われるIPアドレスをブロック ↓
  4. ネットワーク監視の強化 ↓
  5. 被害範囲の調査開始

ランサムウェア感染が疑われる場合

【直ちに実行すべき対応】

  1. 感染が疑われるPCのネットワーク接続を遮断 ↓
  2. C&C(コマンド&コントロール)サーバーへのアクセスをすべてブロック ↓
  3. 被感染PCのIPアドレスをアクセス遮断リストに追加 ↓
  4. ランサムウェア亜種の特定 ↓
  5. 復旧方法の検討(外部専門家への相談等) ⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!

IP許可リスト 運用 による不正アクセス遮断

IP許可リストの役割

IP許可リスト は、特定のシステムやアプリケーションへのアクセスを、事前に登録された IP アドレス からのみに限定する仕組みです。

インシデント時には、この許可リストを活用することで、迅速にアクセスを遮断できます。

許可リストに登録すべきIP

企業ネットワークの構成を把握し、以下のような IP アドレス を事前に許可リストに登録しておきます:

登録対象IP:

インシデント時のIP遮断手順

不正アクセスが検知された場合、以下の手順でアクセス遮断を実行します。

ステップ1:異常IPの特定

CloudTrail等のログから不正と思われるIPを特定

aws cloudtrail lookup-events
—lookup-attributes AttributeKey=EventName,AttributeValue=ModifyDBInstance
—max-items 50
| jq ’.Events[].CloudTrailEvent | fromjson | .sourceIPAddress’
| sort | uniq -c | sort -rn

ステップ2:ブロックリストへの追加

不正と判定されたIPを、即座にブロックリストに追加します。

セキュリティグループの例(AWS)

【追加前】 インバウンドルール:

【追加後(ブロックを優先)】 インバウンドルール:

拒否ルール(最優先):

ステップ3:通知と記録

ブロック実行後、以下を実施します:

  1. セキュリティチーム全員にアラート送信
  2. 経営層への報告
  3. ブロック実行時刻、ユーザーID、判断根拠をログに記録
  4. インシデント対応チケットの作成

アクセス遮断の実装例

ファイアウォール設定での遮断

Linux iptables を用いた例

不正と思われるIPからのアクセスをすべてブロック

sudo iptables -I INPUT -s 192.0.2.50 -j DROP

特定ポートのみブロック

sudo iptables -I INPUT -s 192.0.2.50 -p tcp —dport 3306 -j DROP

ブロック内容の確認

sudo iptables -L -n

Web Application Firewall (WAF) でのIP制限

AWS WAF等のWAFサービスを使用している場合、以下のようにIP制限ルールを追加できます:

{
  "Rules": [
    {
      "Name": "BlockSuspiciousIP",
      "Priority": 0,
      "Statement": {
        "IPSetReferenceStatement": {
          "ARN": "arn:aws:wafv2:region:account-id:regional/ipset/blocked-ips/id"
        }
      },
      "Action": {
        "Block": {}
      }
    }
  ]
}

VPN接続レベルでの遮断

複数の支社やリモートワーカーからのVPN接続を管理している場合、VPN管理画面から不正な接続を直ちに切断できます。

VPN管理コンソール操作:

  1. 現在の接続一覧を表示
  2. 不正と思われるユーザーセッションを選択
  3. 「強制切断」ボタンをクリック
  4. 同ユーザーの新規接続を一時的に禁止

インシデント対応時の初動体制

インシデント対応チームの構成

事前に、以下のメンバーで構成されたインシデント対応チームを編成しておきます:

初動対応の判断基準

インシデント 対応 の優先順位は、以下の基準で判定します:

レベル1(最重大):直ちに対応

レベル2(重大):1時間以内に対応

レベル3(中程度):営業時間内に対応

⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!

インシデント対応後の検証

ブロック効果の確認

アクセス遮断実行後、以下を確認します:

ブロック対象IPからの再アクセスを監視

定期的にアクセスログをチェック

tail -f /var/log/access.log | grep “192.0.2.50”

ブロックされていることを確認

ping -c 1 192.0.2.50

応答なし → ブロック成功

アクセス遮断の記録と管理

すべてのアクセス遮断操作を、以下の形式で記録します:

インシデント記録テンプレート:

インシデントID: INC-2024-04-001 検知日時: 2024-04-22 14:30:00 不正IP: 192.0.2.50 遮断実行日時: 2024-04-22 14:35:00 遮断実行者: security-team-lead 遮断方法: ファイアウォール + セキュリティグループ 遮断スコープ: すべてのポート 被害状況: 本番DB 5分間のアクセス(2テーブル参照) 復旧日時: 2024-04-22 18:00:00 根本原因: RDPのデフォルトパスワード使用 再発防止策: MFA導入、RDP非公開化

インシデント対応 体制のチェックリスト

貴社のインシデント対応体制を確認するために、以下の項目をチェックしてください:

まとめ

セキュリティインシデントは、いかに早く対応できるかが成否を分けます。 IP許可リスト 運用 により、異常なアクセスを即座に識別し、遮断する仕組みを事前に整備することが重要です。

本記事で紹介した初動対応手順を参考に、貴社のインシデント対応 能力を強化してください。

ロリポップ!固定IPアクセスでインシデント対応を強化

セキュリティ強化 のために、社内からのアクセスを固定IP で統一することが効果的です。

ロリポップ!固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円(税込539円)〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。 複数の支社やリモートワーカーを固定IPで統一管理することで、インシデント対応時のアクセス遮断が格段に容易になります。

⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!

おすすめの記事

ゼロトラスト導入前に行うアクセス元の棚卸し:固定IP・SaaS・端末を可視化する方法
基礎知識

ゼロトラスト導入前に行うアクセス元の棚卸し:固定IP・SaaS・端末を可視化する方法

管理者アカウントを守るゼロトラスト:SaaS管理画面のIP許可リスト運用
基礎知識

管理者アカウントを守るゼロトラスト:SaaS管理画面のIP許可リスト運用

APIキー・シークレット管理の基本:漏えいリスクを減らすゼロトラスト運用
基礎知識

APIキー・シークレット管理の基本:漏えいリスクを減らすゼロトラスト運用

どこからでも簡単に
固定IPアドレスでアクセス

導入相談