ITお役立ち情報
2021/03/12

フォレンジックとは?情報システム担当者が知っておきたいデジタルフォレンジック

フォレンジックとは?情報システム担当者が知っておきたいデジタルフォレンジック

フォレンジック(Forensics)とは、犯罪の法的な証拠を見つけるための鑑識捜査を指し、その中でも特に、コンピュータやデジタル記録媒体の中に残された証拠を調査・解析する分野をデジタルフォレンジックといいます。

フォレンジックは、犯罪捜査上の文脈と、サイバー攻撃によるインシデントの主に2つの文脈で使われ、後者については企業のシステム担当者も知っておいた方が良い知識です。

本コラムでは、フォレンジックの概要と実施プロセスについてご紹介いたします。

フォレンジックとは

フォレンジック(Forensics)とは、日本語に訳すと「法廷の」「法医学」などとなり、犯罪の法的な証拠を見つけるための鑑識捜査を指します。なかでも、本コラムでは「デジタルフォレンジック」とよばれる、コンピュータやデジタル記録媒体の中に残された証拠を調査・解析する分野を取り上げます。

デジタルフォレンジックはさらに、コンピュータフォレンジック、モバイルデバイスフォレンジック、ネットワークフォレンジックの3種類に分けられ、サイバー攻撃によるインシデントが起きた際のほか、一般の刑事事件でも活用されています。

フォレンジックのプロセス

実際にフォレンジックを行う際の大まかな手順を、米国国立標準技術研究所(NIST)の発行するSP800シリーズから紐解くと、「1.証拠保全」「2.データ解析」「3.関連情報の抽出」「4.報告」の順に進められます。

1.証拠保全(Collection)

まずは、データが残されているコンピュータや記録媒体を収集し、保全します。

フォレンジックでは、データやログ情報だけでなく、コンピュータや記録媒体といったハードウェアそのものが調査の対象となります。

収集したハードウェアからは、その中にあるデータを完全にコピーします。
さらに、改ざんや破棄などが起こらないよう、正しい手順で「保全」する必要があります。保全には、デュプリケータとよばれる特殊なツールを使用します。

2.データ解析(Examination)

1でコピーしたデータは、そのままの状態では、判別したり解釈したりして示唆を得ることはできません。これを分析できる状態に整える工程が「データ解析(Examination)」です。
たとえば、データの作成日時や更新日時といった情報を元に、ファイルを時系列に並べたり、削除されたデータを復元したりといった作業を行います。

3.関連情報の抽出(Analysis)

2で準備を整えたデータの中から、調査の目的に応じて必要な部分を見つけ出す工程です。
対象となるデータを抽出できたら、法的に証拠としての威力を持つかどうかを分析します。何でもかんでも「証拠」になるわけではないため、法律の知識が必要となります。

4.報告(Reporting)

3で抽出・分析したデータとそこから得られた示唆を整理し、報告書を作成します。
フォレンジッカーとしてのスキルが総合的に求められるプロセスです。

フォレンジックの課題

デジタルテクノロジーなしには成り立たない現代社会において、犯罪捜査やインシデント分析に欠かすことのできないデジタルフォレンジックですが、高度なスキルを必要とするがゆえに生じる、次のような課題をかかえています。

調査のために膨大な時間がかかる

デジタルフォレンジックを実施するためには、ハードウェアやデータを集める必要があり、ここに数日単位で時間がかかってきます。さらに、次項でお伝えするように「調査対象が増えている」ため、データ保全に時間がかかります。

前章のプロセスでいえば、「1.証拠保全」「2.データ解析」の部分です。この部分を圧縮するためのツールもありますが、まだ導入コストが高額である点がネックとなっています。

調査対象が増えている

モバイルデバイスやクラウドなど、フォレンジックの対象が増えており、さらにそこに格納されているデータ量も膨大になってきています。
これが、前項の「調査のために膨大な時間がかかる」の要因ともなっており、担当者の負担も増大します。

以上のような課題を背景として注目を浴びているのが「ファスト・フォレンジック」です。
ファスト・フォレンジックとは、フォレンジック調査を効率よく行うことに重点を置き、必要最低限のデータを対象として行うフォレンジックのことです。ファスト・フォレンジックに特化したツールも登場しています。

まとめ

デジタルフォレンジックの概要をご紹介してきました。
外部からのサイバー攻撃や内部犯行による情報漏えいが後を絶たない昨今、どの企業にとっても事前・事後にわたる対策が求められています。

アイネスでは、サイバー攻撃による侵入被害に遭った際に素早いフォレンジック調査を実現するセキュリティソリューション「CyCraft AIR」を提供しております。
現代では、会社の規模や業種によらず、サイバー攻撃対策が必要です。セキュリティに不安やお悩みをお持ちの企業様は、ぜひご相談ください。

CyCraft AIRについて詳しくは、こちらのページをご覧ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA