封じ込め ふうじこめ
簡単に言うとこんな感じ!
ウイルスに感染したPCをネットワークから切り離して「感染が広がらないように隔離する」のが封じ込めだよ!火事が起きたとき、延焼を防ぐために防火扉を閉めるイメージ。被害を最小限に食い止めるための最初の「防波堤」なんだ!
封じ込めとは
封じ込め(Containment)とは、セキュリティインシデント(不正アクセス・マルウェア感染・情報漏洩など)が発生した際に、被害がこれ以上広がらないよう拡散を止める対応手順のことです。インシデント対応フローの中でも「検知・分析」の直後に行う、非常に重要なステップです。
たとえばランサムウェアに感染したPCが1台あったとき、そのまま放置すれば同じネットワーク内の他のPCや共有ファイルサーバにも感染が広がります。封じ込めはその「感染の連鎖」を断ち切るために、問題のあるシステムをネットワークから切り離したり、アカウントを無効化したりする処置を指します。
封じ込めは「根絶(Eradication)」や「復旧(Recovery)」とは異なります。あくまで今この瞬間の被害拡大を止めることが目的であり、原因の特定や修復は封じ込め完了後に行います。まず「止める」、次に「直す」という順序が大切です。
封じ込めの種類と手順
インシデントの規模や種類によって、封じ込めの方法は「段階的」に使い分けます。
| 種類 | 内容 | 具体例 |
|---|---|---|
| 短期封じ込め | 即座に被害拡大を止める応急処置 | 感染PCのLANケーブルを抜く・Wi-Fiをオフにする |
| 長期封じ込め | 業務継続を考慮しつつ安全な状態を維持する | 感染端末を隔離セグメントに移す・パッチ適用 |
| 論理的封じ込め | ネットワーク設定で通信を遮断する | ファイアウォールルール変更・VLANで隔離 |
| 物理的封じ込め | 機器そのものを物理的に切り離す | PCの電源オフ・ネットワーク機器の撤去 |
封じ込めの基本フロー
[インシデント検知]
↓
[影響範囲の特定] ← どのシステム・端末が感染しているか
↓
[短期封じ込め] ← ネットワーク切断・アカウント無効化
↓
[証拠保全] ← ログ・メモリダンプの取得(この順序が重要!)
↓
[長期封じ込め] ← 代替手段の確保・業務継続策の検討
↓
[根絶・復旧フェーズへ]「電源を切ればいい」は正解?
実はむやみに電源を切ると証拠が消えてしまうことがあります。メモリ上にしか存在しないマルウェアや、揮発性のログ情報は電源断で失われます。封じ込めの前後にフォレンジック(デジタル証拠保全)の観点からメモリダンプやログの取得を行うかどうか、事前にルールを決めておくことが重要です。
歴史と背景
- 1988年 — Morris Worm(モリスワーム)がインターネットに拡散。感染拡大を止める手段がなく、多くのシステムが被害を受けたことで「封じ込め」の重要性が認識され始める
- 2001年 — Code Red・Nimda等のワームが爆発的に拡散。ネットワーク分離による封じ込めの有効性が実証される
- 2003年 — NIST(米国国立標準技術研究所)が SP 800-61(コンピュータセキュリティインシデント対応ガイド)を公開。封じ込めを対応フローの正式ステップとして定義
- 2010年代 — CSIRT(シーサート:Computer Security Incident Response Team)の社内設置が普及。組織として封じ込め手順を標準化する動きが加速
- 2017年 — WannaCryランサムウェアが世界中に拡散。初動の封じ込め(SMBポート445の遮断)が遅れた組織ほど被害が拡大し、初動対応の重要性が改めて注目される
- 現在 — クラウド・ゼロトラスト環境では「ネットワーク切断」だけでなく、IDの無効化・マイクロセグメンテーションによる論理的封じ込めが主流になりつつある
インシデント対応フローにおける封じ込めの位置づけ
封じ込めはインシデント対応の6ステップのうち、ちょうど中間に位置します。
NIST SP 800-61 で定義されたインシデント対応の6フェーズにおいて、封じ込めは「検知・分析」の次のステップです。封じ込めが完了して初めて、原因を取り除く「根絶」や、システムを元に戻す「復旧」へと進むことができます。
封じ込めと根絶・復旧の違い
| フェーズ | 目的 | 主な作業 |
|---|---|---|
| 封じ込め | これ以上広げない | ネットワーク遮断・アカウント停止 |
| 根絶 | 原因を取り除く | マルウェア削除・脆弱性修正 |
| 復旧 | 正常運用に戻す | システム再稼働・監視強化 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-61 Rev.2 | コンピュータセキュリティインシデント対応ガイド。封じ込めを含む6フェーズの対応手順を定義 |
| RFC 2350 | CSIRTの定義・役割・構成に関する基本的な期待事項を定めた規格 |