フォレンジック調査とは、インシデント発生の際に原因を調査するその方法・手順の事です。
本記事では、とくに不正アクセスや情報漏えいといったセキュリティインシデントにおけるフォレンジック、デジタルフォレンジックについて解説します。
また、LRMでは、フォレンジック調査をスムーズに行っていただける「インシデント管理台帳」を無料で配布しています。
情報セキュリティを専門に扱うLRMのノウハウをもとにISMSの規格に準拠した項目で、インシデントの基本情報から再発防止策に至るまで網羅的に管理、数値レベル化できます。
こちらから無料でダウンロードできますので、ぜひご活用ください。
フォレンジックについておさらい
「フォレンジック」とは、直訳すると「法廷の」という意味があり、法的な証拠を見つけるための「鑑識調査」や「情報解析」にともなう技術や手順を表しています。
つまりフォレンジック調査とは、法的証拠として証明できる能力を持たせる調査を表し、その中でも、電子機器に保存されているデジタルデータに関するものを「デジタル・フォレンジック」などと言います。
以前は「コンピュータ・フォレンジック」という言葉が使われていましたが、すべてのデジタルデバイスをカバーするため範囲が広げられたため、コンピュータ・フォレンジックはデジタル・フォレンジックの小分類になっています。
フォレンジック調査の必要性
フォレンジック調査は、ネットワークのアクセスログ、パケットを確認し、不正アクセスや機密情報の漏えい記録などが起きているか、そしてインシデントが起きていた場合は何が原因なのかを特定するものです。
そのため、今後の対策を立てたり、インシデントに気づかず、知らないうちに情報が漏洩していた。
そんな最悪の事態を避けるためにフォレンジック調査を行う必要があります。
フォレンジック調査は、おもに以下のようなケースで行われます。
- 削除したメールやデータの復元
- 情報漏洩の調査
- 内部による不正、改ざんの調査
- ハッキングなどの悪意ある攻撃の調査
フォレンジック調査は、法的な証拠を見つけるための調査のため、「不正アクセスがされていないか」「悪意を持って情報が改ざんされていないか」などを調べます。
不正の証拠となるログや、メールのやり取り、悪意あるウイルスなどを特定し、インシデントの内容を把握し解明します。
「うちは小さな会社だから関係ない」と考えるかもしれませんが、スマートフォンやタブレットの爆発的な普及によりインターネットが身近な存在になり、データをクラウド状に保存する文化も定着しました。
これにより、個人、会社問わず、誰でも不正アクセスの被害を受ける可能性があります。
また、内部の人間によるデータの持ち出しによる情報漏えいのリスクも考慮しなくてはいけません。
これらのことから、デジタルフォレンジックの重要度は高く、必要性が高いといえるでしょう。
フォレンジック調査を実施する際の注意点
フォレンジック調査を実施する際の注意点は以下の4つです。
- 調査に時間がかかる
- 効率化にはお金がかかる
- 企業の場合データが膨大
- 二次災害の可能性
調査に時間がかかる
フォレンジックで分析をするには、データを集め、分析できるように見るべき情報とそうでない情報を整理する必要があります。
さらに、そのあとに調査をするため、数日は最低でもかかります。
通常業務に加えて、別途データ整理の時間を作るのはかなり骨が折れるでしょう。
特に小規模で従業員が少ない会社の場合、リソース不足になる可能性があります。
効率化にはお金がかかる
「フォレンジック調査に時間をかけられない」
「フォレンジック調査にあてられる人員の余裕がない」
そんな時は、調査の効率化ができるツールや会社のサービスを利用すれば解決できますが、機器1台につき数十万円ほどと高額になりがちです。
このため、調査を実施したくてもコスト面で実施に踏み切れないケースも存在します。
企業の場合データが膨大
現代は、インターネットの黎明期と比べて、ファイルサイズの大きな画像や動画データなども取り扱えるようになり、1つ1つのファイル容量の大きさが大きくなったり、取り扱う個人情報の量も増えているため、企業の保有するデータは膨大です。
そのため、フォレンジック調査を行う際には、大量のデータを処理する必要があり、作業時間も伸びてしまいます。
担当者の負担が増えてしまったり、データ保存機器の数が増えると外注時の費用も上がるなど、そもそもの調査にかかるコストが大きくなりがちです。
二次災害の可能性
情報漏洩のように重大なインシデントが発生した場合、原因の調査や対策を考えるためにフォレンジック調査を行います。
自社で調査を行う場合、重要な証拠となるデータを上書きしてしまったり、悪意あるプログラムを意図せず実行してしまったりなどの二次災害が起きてしまいます。
また、顧客の情報が流出したにも関わらず、自社だけの調査をする場合、本当に調査したのか、不正を隠ぺいしていないかなどの不信感を与えてしまいかねません。
信頼をなくすことはビジネスにおいて一番避けるべきなので、できる限り信頼できる専門家や代行業者に調査を依頼することが重要です。
フォレンジック調査を実施しなければならない場合
フォレンジック調査では、脆弱性の発見、自社のセキュリティ強化、内部による不正の抑止にもつながりますが、フォレンジック調査を実施しなければならないケースもあります。
フォレンジック調査を実施しなければならないケースは以下のようなケースです。
- 内部の人材による不正発生
- 機密情報・個人情報の流出
- クラウドサービス利用による情報漏えい
- サイバー攻撃などの重大なインシデント
このようなケースは、企業の信頼問題に大きく関わります。
内部の教育が至っていなかったのか、どんな情報が流出してしまったのか、情報漏洩が起きたことによる被害としてどんなことが考えられるか、などといった外部にも影響が起こりうるようなケースが、フォレンジック調査は必須といえるでしょう。
フォレンジック調査の種類と手順
デジタル・フォレンジック調査の中にも種類が複数あります。
コンピューターフォレンジック
デジタルフォレンジックの中でも、パソコンにまつわる情報の調査をコンピューターフォレンジックといいます。
例えばHDDやSSDなどに保存されているデータや、コンピューター上でおこなわれた操作などの分析・解析、データの復元も行います。
モバイルデバイスフォレンジック
デジタルフォレンジックの中でも、スマートフォン(タブレットも含む)などのモバイルデバイスに保存されているデータを調査します。
データ以外にも、通話履歴やアプリの使用履歴も調査し、さらに不都合があるからと消されてしまったアプリのチャット履歴や消された通話履歴を調査します。
ネットワークフォレンジック
デジタルフォレンジックの中でも、アクセス履歴やインターネットでのダウンロード履歴などを調査します。
不正アクセスは、確実にどこかからインターネットを使ってアクセスしている形跡が残るため、どのネットワークが通ったか解析することで、不正アクセスをした人物を割り出すことができます。
フォレンジック調査を行う際は以下のような手順を行います。
フォレンジック調査の手順
- 事前準備
事前準備として、誰が調査を担当するのかを決めたり、どんな端末のどんな情報を調査するのかを決めておきます。 - 証拠保全
対象となるデータを上書き・削除しないように保存し、情報漏洩や不正アクセスなど、インシデントが起こった当時のの状況を正確に把握します。 - データの復元
もし、おぼしきデータが削除されていた場合は履歴を探ってデータを復元しましょう。 - データの解析・分析
調査に必要なデータがそろったら調査の開始です。データの解析、分析を行い、インシデントの原因を探りましょう。 - 報告
最後に調査した結果を報告します。インシデントによっては一般ユーザーにも影響があるので、説明に不備がないように影響について報告をしましょう。
まとめ
フォレンジック調査はISMSの管理策「A 16.1.7 証拠の収集」の目的から考えて、実現するための手法の1つです。
インシデントが起こったあとは当然実施する必要がありますが、インシデントの有無にかかわらず、普段の業務からログ取得や定期的な確認を行うことで、情報セキュリティレベルの向上が期待できます。
自社のセキュリティに不安がある方は、この機会にフォレンジック調査を普段の業務に取り入れてみてはいかがでしょうか。
また、インシデント管理台帳はこちらから無料でダウンロードできますので、ぜひご活用ください。