サイバー攻撃による被害を想定して、企業はさまざまな対策をとることが求められています。被害時における対策の一つに被害範囲や侵入経路などを調査する「フォレンジック」があります。
セキュリティ対策推進のご担当者様におかれましてはフォレンジックの基本を確認し、いざという時に適切な対応をとれるように準備しておくことが必要です。本記事ではフォレンジックの概要について解説します。
フォレンジックとは何か?
「フォレンジック」という言葉をご存知ない方もいらっしゃるかもしれません。まずは、フォレンジックの基本について解説します。
IT業界におけるフォレンジックとは?
IT業界でのフォレンジックとは、セキュリティインシデントが発生した際に、被害状況の把握や法的証拠を確保するための調査を指します。被害にあったネットワーク・サーバー・デバイス・外部メモリなどを対象に、情報を収集して解析することがフォレンジックの基本です。
またインシデントによる被害状況(漏洩した情報の種類や件数など)、被害範囲の調査や侵入経路を調査することや、被害に遭ったデータが改ざん・削除・破損していないか確認したり、元通りに復元したりといった作業もフォレンジックに含まれます。ハッシュ値やデジタル署名などを活用し、データをトラブルの証拠となるように保全することもフォレンジックの一種です。
フォレンジックの種類について
フォレンジックには「コンピュータフォレンジック」「ネットワークフォレンジック」「ファストフォレンジック」といった、複数の種類があります。
- コンピュータフォレンジック
コンピュータ機器を調査すること。HDDやSSDを調査する際には「ディスクフォレンジック」、メモリデータを調査する際には「メモリフォレンジック」が実施される。 - ネットワークフォレンジック
デジタル機器がつながっているネットワークのログや通信データを調査すること。 - ファストフォレンジック
必要最低限のデータで調査を開始し、早急にインシデントの原因を救命する方法のこと。
フォレンジックが重視される背景
昨今、企業をターゲットにしたサイバー攻撃は増加傾向にあります。警視庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について※1」によると、サイバー攻撃の前兆ともなる、ぜい弱性探索行為等の不審なアクセス件数及びランサムウェアの被害報告件数が前年同期から増加したとあります。またフィッシングの被害報告件数も前年同期比で約 10 万件増加しているとの報告があります。
いざインシデントが発生した際には、以下のような理由からフォレンジックが必要とされます。
- 利害関係者に被害状況を報告する必要があり、フォレンジック調査の結果が報告対象になる。
- 侵入経路や原因を特定し、適切な対策を実施することで、再発を防止することができる。
サイバー攻撃が増加している背景を受け、その後の対策に付随するフォレンジックの必要性が高まっています。
フォレンジックはどのような場合に必要か
以下では、フォレンジックが必要になる具体的なケースを2つ紹介します。
①不正アクセスなど外部からの攻撃が懸念されるとき
不正アクセスやハッキングなどが懸念される際には、フォレンジックによる対応が求められます。フォレンジックによって具体的な被害の把握や、どのような経路や原因で事故が起きたのか明らかにすることができます。
これらは、再発防止のためのセキュリティ対策にもつながります。フォレンジックを行うことで、攻撃手段を確認するだけでなく、自社のセキュリティ環境の問題点を発見する機会も作ることができます。
②内部での不正が考えられるとき
内部不正が考えられる際にも、フォレンジックが必要です。不正をした人物を特定しつつ、犯行を証明する証拠を集めたうえでの起訴も場合によっては可能となります。なお内部不正による被害を追求するには、フォレンジックで法的証拠を収集し、法律に則った正当な手続きをとる必要があります。正しい手続きを怠ると、デジタルデータが証拠として機能せず、問題を解決できない可能性が高まります。
フォレンジックの主な流れ
次にフォレンジックを実施する際の基本的な流れについて紹介します。どのような流れでフォレンジックを進めるのか知ることで、スムーズかつ効果的な対応が可能となります。
フォレンジックの流れ1.証拠保全
フォレンジックではまず問題の証拠を保全し、状況を把握することから始めます。ネットワークのログや記録媒体のデータなどを完全にコピーし、セキュリティインシデント発生時の状況を保全します。データの改ざんや破棄がされないように、正しい手順で保全作業を進める必要があります。
フォレンジックの流れ2.データ解析
続いて保全したデータを分析できるように、データ解析を実施します。データを分析できる状態に整えて、正確なフォレンジックが行えるように備えるための手順です。データを時系列順に並べる、改ざん・削除されたデータを復元するなどの方法があります。この工程にミスがあると、データの分析までに時間がかかり、問題の発生源の特定が遅れる可能性があります。
フォレンジックの流れ3.情報の抽出
データ解析を終えたら、問題の調査に必要な情報を抽出します。原因の特定につながる情報をピックアップし、分析作業に移ります。抽出したデータが証拠となり得るのか精査し、その後の対応に備えて情報を整理するのもフォレンジックの作業の一環です。
フォレンジックの流れ4.問題をまとめて報告する
データの分析と調査によって得た情報を整理して、内外に報告します。報告書を作成し、調査の内容や問題点を分かりやすくまとめる作業も、フォレンジックに含まれます。
フォレンジックを実施する際の注意点
ここまでフォレンジック調査の流れについて紹介しましたが、調査においては専門的なスキルが必要となります。対応次第では証拠となるデータが上書きされるなど、被害を拡大させる要因になることも懸念されます。基本的に自社で解決できるケースはほぼないため、外部の専門ベンダーへ依頼するのが一般的です。
インシデント発生の際、速やかに対策を実施しないと被害が拡大する可能性があります。ご担当者さまにおかれましては、日ごろからフォレンジックの委託先の検討を行っておき、万が一の際には速やかに委託先に相談するのがよいでしょう。
フォレンジック事前調査サービスがおすすめ
「いざという時に備えて事前に契約しておけるようなサービスはないですか?」そう言ったお声をいただき、Proactive Defense では、「デジタルフォレンジック事前調査サービス」をご提供しています。
本サービスはお客様環境について弊社が事前ヒアリングをさせていただき、資料にまとめて保管しておくというサービスです。これにより万が一の際、速やかにフォレンジック調査を開始することができます。
サービスが少しでも気になる方は、是非ご相談ください。フォレンジック事前調査サービスについては下記のブログにも紹介がありますので、ぜひご参考ください。
※1:警視庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について 」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf
