ISMSを構築するルールの1つに「A 16.2.7 証拠の収集」があります。簡単に言うと、情報セキュリティ事故が起こった際に記録を残しましょうというものですが、なぜ記録を残さなくてはいけないのでしょうか。組織内でセキュリティ事故を共有して再発を防止するというのも目的の1つですが、他にも重要な目的があります。

今回は、デジタルフォレンジックという手段・技術を絡めて、ISMSにおいてなぜ証拠の収集が必要なのかを考えたいと思います。

デジタルフォレンジックとは?

デジタルフォレンジックとは、情報漏洩や不正侵入などの情報セキュリティインシデントと呼ばれる問題が発生した際に、コンピュータ上に残されたファイルやアクセスログから犯罪の記録を収集・分析する手段や技術のことをいいます。

フォレンジックとはもともと、犯罪捜査における分析、鑑識を意味します。21世紀に入った頃から技術の発展に合わせて急増する情報セキュリティインシデントに対して、機器のログやコンピュータの記録から事態を究明するための情報を保全、分析するデジタルフォレンジックという手法が、言葉の定着と共に広がっていきました。

デジタルフォレンジックは大きく分けて「収集」「検査」「分析」「保全」の4項目から構成されています。その中で最も基本となるのが、前述したようなコンピュータから収集した証拠を「保全」するプロセスです。せっかく収集した情報が実際に証拠として機能するまでに使えなくなっては意味がありません。よって、適切に収集した情報を適切に保全する必要があります。

また、デジタルフォレンジックは大枠な用語であって、その手段や技術の種類は以下のように細分化することができます。

コンピュータフォレンジック
  • コンピュータやハードディスクなどのストレージに記録された情報を保全し、証拠として分析する
メモリーフォレンジック
  • コンピュータのメモリー上の情報を証拠として扱う
  • メモリー上に展開された悪意のあるソフトウェアなどが外部に情報を流出させているような場合、ハードディスク上には記録が残らないことがあるため、メモリー上の情報を保全し、状況を分析する
モバイルフォレンジック
  • ノートPCやスマートフォン、タブレットなど、場所を問わずに使用できるモバイル端末内の情報を保全し、証拠として分析する
ネットワークフォレンジック
  • 情報端末同士を結ぶネットワーク内で証拠を保全し見つけることを目的とする
  • ネットワークに流れる情報を取得して保存することで、情報端末間の分析を行う
  • 「いつ/どの端末が/どのようなルートで/どこに/何を送信したのか」といった全体像を把握する

なぜインシデント記録が必要なのか?

冒頭でお話したように、ISMSでは情報セキュリティインシデントが発生した際に、インシデント記録を証拠として収集することが求められています。ではなぜインシデント記録が必要なのでしょうか。

それは、インシデント記録が法的根拠をもった証拠となり得る可能性が高いからです。

例えば、自社サーバへの不正アクセスによって個人情報の流出が起こったとします。これは悪意をもった犯行による情報セキュリティインシデントですが、企業側がその被害に気づくのはインシデント発生後から数時間後になるかもしれませんし、数日後かもしれません。そのような場合、最終的に犯人の特定に至るまでにかなりの時間が経過している可能性があります。その際に重要になるのが事件当時の記録です。サーバやPCに記録されたログから「いつ/どのファイルに対して/誰が」などを特定して証拠として保持しておくことで、もし監督官庁から、インシデントを受けたという法的根拠を求められた場合に、適切な証拠を提出することができます。

ここで必要な技術が2つあります。1つ目は、長時間経過した後に記録を取得するための技術です。2つ目が、記録を法的根拠に基づいた証拠として保全する技術です。つまり、これらのポイントを実現するための手段としてデジタルフォレンジックがあり、それはISMS上においても重要な役割を果たすものになります。

デジタルフォレンジックのポイント

ここまで説明したとおり、インシデント記録を証拠として収集するデジタルフォレンジックは、企業における危機管理の一環としても重要性が高まってきています。実際、平成16年にIPO法人デジタルフォレンジック研究会が設立され、デジタルフォレンジックの普及・促進に貢献する活動をしています。

同研究会が発行しているガイドラインに「証拠保全ガイドライン 第8版」があり、この中に「デジタル機器に残されたデータの中から、サイバー脅威による攻撃や内部の不正、犯罪といったインシデントに関わる電磁的証拠になり得る情報を、確実に、そのままで、収集・取得し、保全しておくことが、デジタルフォレンジックの運用者にとって最も重要なことである。」記載されています。つまり、前章でも述べたとおり、証拠として使うことができるように正確かつ安全に記録を保全することがポイントです。

また、デジタルフォレンジックは記録を証拠として用いて犯人を探すことを目的としているだけではなく、従業員が犯罪者にならないように守る手段でもあります。サイバー攻撃を受けたPCが踏み台となって被害者が加害者になってしまうこともあります。このような場合に、踏み台となってしまったという証拠をしっかりと保全して証明することができれば、被害者である従業員を犯罪者にしないで済むかもしれません。このように、実際にインシデントが起きてからではとても対応できないとならないように、事前にデジタルフォレンジックが可能な体制を整えておくことが重要です。

おわりに

今回は、ISMSの管理策「A 16.1.7 証拠の収集」の目的から考えて、実現するための手法の1つであるデジタルフォレンジックについて説明しました。

犯罪捜査などの限られた用途だけでなく、普段の業務からログ取得や定期的な確認は、組織の情報セキュリティレベルを高めるために効果を発揮します。ぜひ一度自社のインシデント対応フローを見直して、適切な記録が適切に保全できるのかをチェックしてはいかがでしょう。

参考

「証拠保全ガイドライン 第8版」

(https://digitalforensic.jp/wp-content/uploads/2020/10/guideline_8thv1.12.pdf)

サイバー犯罪捜査にも活用される「デジタルフォレンジック」とは?

カテゴリー: 情報セキュリティ

ISMSを構築するルールの1つに「A 16.2.7 証拠の収集」があります。簡単に言うと、情報セキュリティ事故が起こった際に記録を残しましょうというものですが、なぜ記録を残さなくてはいけないのでしょうか。組織内でセキュリティ事故を共有して再発を防止するというのも目的の1つですが、他にも重要な目的があります。

今回は、デジタルフォレンジックという手段・技術を絡めて、ISMSにおいてなぜ証拠の収集が必要なのかを考えたいと思います。

デジタルフォレンジックとは?

デジタルフォレンジックとは、情報漏洩や不正侵入などの情報セキュリティインシデントと呼ばれる問題が発生した際に、コンピュータ上に残されたファイルやアクセスログから犯罪の記録を収集・分析する手段や技術のことをいいます。

フォレンジックとはもともと、犯罪捜査における分析、鑑識を意味します。21世紀に入った頃から技術の発展に合わせて急増する情報セキュリティインシデントに対して、機器のログやコンピュータの記録から事態を究明するための情報を保全、分析するデジタルフォレンジックという手法が、言葉の定着と共に広がっていきました。

デジタルフォレンジックは大きく分けて「収集」「検査」「分析」「保全」の4項目から構成されています。その中で最も基本となるのが、前述したようなコンピュータから収集した証拠を「保全」するプロセスです。せっかく収集した情報が実際に証拠として機能するまでに使えなくなっては意味がありません。よって、適切に収集した情報を適切に保全する必要があります。

また、デジタルフォレンジックは大枠な用語であって、その手段や技術の種類は以下のように細分化することができます。

コンピュータフォレンジック
  • コンピュータやハードディスクなどのストレージに記録された情報を保全し、証拠として分析する
メモリーフォレンジック
  • コンピュータのメモリー上の情報を証拠として扱う
  • メモリー上に展開された悪意のあるソフトウェアなどが外部に情報を流出させているような場合、ハードディスク上には記録が残らないことがあるため、メモリー上の情報を保全し、状況を分析する
モバイルフォレンジック
  • ノートPCやスマートフォン、タブレットなど、場所を問わずに使用できるモバイル端末内の情報を保全し、証拠として分析する
ネットワークフォレンジック
  • 情報端末同士を結ぶネットワーク内で証拠を保全し見つけることを目的とする
  • ネットワークに流れる情報を取得して保存することで、情報端末間の分析を行う
  • 「いつ/どの端末が/どのようなルートで/どこに/何を送信したのか」といった全体像を把握する

なぜインシデント記録が必要なのか?

冒頭でお話したように、ISMSでは情報セキュリティインシデントが発生した際に、インシデント記録を証拠として収集することが求められています。ではなぜインシデント記録が必要なのでしょうか。

それは、インシデント記録が法的根拠をもった証拠となり得る可能性が高いからです。

例えば、自社サーバへの不正アクセスによって個人情報の流出が起こったとします。これは悪意をもった犯行による情報セキュリティインシデントですが、企業側がその被害に気づくのはインシデント発生後から数時間後になるかもしれませんし、数日後かもしれません。そのような場合、最終的に犯人の特定に至るまでにかなりの時間が経過している可能性があります。その際に重要になるのが事件当時の記録です。サーバやPCに記録されたログから「いつ/どのファイルに対して/誰が」などを特定して証拠として保持しておくことで、もし監督官庁から、インシデントを受けたという法的根拠を求められた場合に、適切な証拠を提出することができます。

ここで必要な技術が2つあります。1つ目は、長時間経過した後に記録を取得するための技術です。2つ目が、記録を法的根拠に基づいた証拠として保全する技術です。つまり、これらのポイントを実現するための手段としてデジタルフォレンジックがあり、それはISMS上においても重要な役割を果たすものになります。

デジタルフォレンジックのポイント

ここまで説明したとおり、インシデント記録を証拠として収集するデジタルフォレンジックは、企業における危機管理の一環としても重要性が高まってきています。実際、平成16年にIPO法人デジタルフォレンジック研究会が設立され、デジタルフォレンジックの普及・促進に貢献する活動をしています。

同研究会が発行しているガイドラインに「証拠保全ガイドライン 第8版」があり、この中に「デジタル機器に残されたデータの中から、サイバー脅威による攻撃や内部の不正、犯罪といったインシデントに関わる電磁的証拠になり得る情報を、確実に、そのままで、収集・取得し、保全しておくことが、デジタルフォレンジックの運用者にとって最も重要なことである。」記載されています。つまり、前章でも述べたとおり、証拠として使うことができるように正確かつ安全に記録を保全することがポイントです。

また、デジタルフォレンジックは記録を証拠として用いて犯人を探すことを目的としているだけではなく、従業員が犯罪者にならないように守る手段でもあります。サイバー攻撃を受けたPCが踏み台となって被害者が加害者になってしまうこともあります。このような場合に、踏み台となってしまったという証拠をしっかりと保全して証明することができれば、被害者である従業員を犯罪者にしないで済むかもしれません。このように、実際にインシデントが起きてからではとても対応できないとならないように、事前にデジタルフォレンジックが可能な体制を整えておくことが重要です。

おわりに

今回は、ISMSの管理策「A 16.1.7 証拠の収集」の目的から考えて、実現するための手法の1つであるデジタルフォレンジックについて説明しました。

犯罪捜査などの限られた用途だけでなく、普段の業務からログ取得や定期的な確認は、組織の情報セキュリティレベルを高めるために効果を発揮します。ぜひ一度自社のインシデント対応フローを見直して、適切な記録が適切に保全できるのかをチェックしてはいかがでしょう。

参考

「証拠保全ガイドライン 第8版」

(https://digitalforensic.jp/wp-content/uploads/2020/10/guideline_8thv1.12.pdf)

Author: 柴田 大輔
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする