いま注目されているセキュリティ対策のひとつに、ネットワークフォレンジック調査があります。
コンプライアンス対応やインシデント対応においてかなり価値のあるものです。しっかり押さえておきましょう。
また、セキュリティ担当者の方へ、企業が対応するべきセキュリティ対策をまとめたチェックシートを無料で配布しています。まずは現状確認してみてください!
ネットワークフォレンジック調査についておさらい
「Forensics(フォレンジック)」は直訳すると「法廷の」という意味があり、法的な証拠を見つけるための「鑑識調査」や「情報解析」にともなう技術や手順を表しています。
つまりフォレンジック調査とは、法的証拠として証明できる能力を持たせる調査を表し、その中でも、電子機器に保存されているデジタルデータに関するものを「デジタル・フォレンジック」などと言います。
以前は「コンピュータ・フォレンジック」という言葉が使われていましたが、近年ではコンピュータを含めたすべてのデジタルデバイスをカバーするように範囲が広げられたデジタルフォレンジックという言葉が利用されるようになりました。コンピュータ・フォレンジックはデジタル・フォレンジックの小分類の一つとなっています。
そんなデジタルフォレンジックの中でも、ネットワークフォレンジック調査は、アクセス履歴やインターネットでのダウンロード履歴などを調査します。
不正アクセスがあった場合には、確実にどこかからネットワークを経由してアクセスした形跡が残ります。どのようなネットワーク上の経路を通ってアクセスが行われたか解析することで、不正アクセスをした人物を割り出すことができます。
ネットワークフォレンジック調査で重要視されるポイント
ネットワークフォレンジック調査では、法的な証拠として利用できる情報とするために、下記の点が重視されます。
- 手続きが正当であること
- 犯罪の証拠として利用するため、正当な方法で情報を得ている必要があります。
非合法な手法で得た情報では法的な証拠として利用することは不可能です。 - 解析が正確であること
- 収集したデータの解析結果が正しいことが証明できる情報であることが重要です。
データの事実性の高さと解析の手法、手順を明確にし、再現性のある情報とします。 - 第三者による検証がされていること、可能なこと
- 調査者以外の外部からの確認が行われていることにより、客観的な証明が可能です。
また、収集したデータから再度の検証を行えるようにデータを整理しておきます。
ネットワークフォレンジック調査の必要性
ネットワークフォレンジック調査は、ネットワークのアクセスログ、パケットを確認し、不正アクセスや機密情報の漏えい記録などが起きているか、そしてインシデントが起きていた場合は何が原因なのかを特定するものです。
インシデントの発生を見つけることで、インシデントの発生に気づいておらず被害が拡大していくことを防ぐことができます。また、インシデントが既に発生している状況から調査を行う場合には、今後の対策を立てる際に、調査の第一歩として必要な作業となります。ネットワークフォレンジック調査を行うことは、さらなる被害拡大などの最悪の事態を避けることに役立ちます。
ネットワークフォレンジック調査は、おもに以下のようなケースで行われます。
- 削除したメールやデータの復元
- 情報漏えいの調査
- 内部による不正、改ざんの調査
- ハッキングなどの悪意ある攻撃の調査
ネットワークフォレンジック調査は、法的な証拠を見つけるための調査のため、「不正アクセスがされていないか」「悪意を持って情報が改ざんされていないか」などを調べます。
不正の証拠となるログやメールのやり取り、悪意あるウイルスなどを特定し、インシデントの内容を把握し解明します。
「うちは小さな会社だから関係ない」と考える人もいますが、スマートフォンやタブレットの爆発的な普及によりインターネットが身近な存在になり、データをクラウド上に保存する文化も定着しました。
これにより、個人、会社問わず、誰でも不正アクセスの被害を受ける可能性があります。
また、内部の人間のデータの持ち出しによる情報漏えいのリスクも考慮しなくてはいけません。内部不正による情報漏えいが発生した場合には、被害者であると同時に情報が個人情報などであれば加害者ともなってしまいかねないのです。
デジタルフォレンジックについては「デジタルフォレンジックとは?サイバー犯罪に活用される内容を解説」も参照ください。
ネットワークフォレンジック調査の手順
- 1. 事前準備
- 事前準備として、調査の担当者、調査対象の端末、調査対象のデータ種類を定めます。
調査対象の範囲が広い場合には、調査のためのチーム形成なども含まれます。 - 2. 証拠保全
- 対象となるデータを上書き・削除しないように保存し、情報漏えいや不正アクセスなど、インシデントが起こった当時の状況を正確に把握します。
- 3. データの復元
- もし、重要とおぼしきデータが削除されていた場合は履歴を探ってデータを復元しましょう。
- 4. データの解析・分析
- データの解析・分析調査に必要なデータがそろったら、データの解析、分析を行います。
データを時系列に並べる、グラフ化するなどで可視化し、インシデントの原因を探りましょう。 - 5. 報告
- 最後に調査・分析した結果を報告します。インシデントによっては一般ユーザーにも影響があるので、説明に不備がないように影響についても報告をしましょう。
ネットワークフォレンジック調査を実施する際の注意点
ネットワークフォレンジック調査を実施する際の注意点は以下の4つです。
- 調査には時間がかかる
- 効率化にはお金がかかる
- 企業の場合データが膨大
- 二次災害の可能性
調査には時間がかかる
フォレンジックで分析をするには、データを集め、分析できるように、見るべき情報とそうでない情報を整理する必要があります。
さらに、そのあとに調査・分析をするため最低でも数日はかかります。
担当者が他の業務と兼務する場合、通常業務に加えて別途データ整理の時間を作るのはかなり骨が折れます。
特に小規模で従業員が少ない会社の場合、リソース不足になる可能性があります。
効率化にはお金がかかる
「ネットワークフォレンジック調査に時間をかけられない」
「ネットワークフォレンジック調査にあてられる人員の余裕がない」
そんな時は、調査の効率化ができるツールや企業の提供する調査サービスを利用することも可能ですが、機器1台につき数十万円ほどと高額になりがちです。
このため、調査を実施したくてもコスト面で実施に踏み切れないケースも存在します。
企業の場合データが膨大
現代は、インターネットの黎明期と比べて、ファイルサイズの大きな画像や動画データなども取り扱えるようになり、1つ1つのファイル容量の大きさが大きくなったり、取り扱う個人情報の量も増えているため、企業の保有するデータは膨大です。
そのため、ネットワークフォレンジック調査を行う際には、大量のデータを処理する必要があり、作業時間も伸びてしまいます。
担当者の負担が増えてしまったり、データ保存機器の数が増えると外注時の費用も上がるなど、そもそもの調査にかかるコストが大きくなりがちです。
二次災害の可能性
情報漏えいのように重大なインシデントが発生した場合、原因の調査や対策を考えるためにネットワークフォレンジック調査を行います。
自社で調査を行う場合、重要な証拠となるデータを上書きしてしまったり、悪意あるプログラムを意図せず実行してしまったりなどの二次災害が起きてしまいます。
また、顧客の情報が流出したにも関わらず、自社だけの調査をする場合、本当に調査したのか、不正を隠ぺいしていないかなどの不信感を与えてしまいかねません。
信頼をなくすことはビジネスにおいて一番避けるべきなので、できる限り信頼できる専門家や代行業者に調査を依頼することが重要です。
ネットワークフォレンジック調査を実施しなければならない場合
ネットワークフォレンジック調査を実施しなければならないケースは以下のようなケースです。
- 内部の人材による不正発生
- 機密情報・個人情報の流出
- クラウドサービス利用による情報漏えい
- サイバー攻撃などの重大なインシデント
このようなケースは、企業の信頼問題に大きく関わります。
自社以外の外部にも影響が起こりうるようなケースでは、ネットワークフォレンジック調査を行い、被害や対策を明確化する必要があります。原因は何か、どんな情報が流出してしまったのか、情報漏洩発生によってどんな被害が生じるのか、といったすべての追求をネットワークフォレンジック調査で実施するのです。
ネットワーク以外のフォレンジック調査の種類
デジタルフォレンジック調査の中でも、主に対象とするデバイスや技術分野により種類が複数に分かれています。各種類についてご紹介します。
コンピューターフォレンジック
デジタルフォレンジックの中でも、PCやサーバーなどのコンピュータ上の情報を対象とする調査をコンピューターフォレンジックといいます。
例えばHDDやSSDなどに保存されているデータや、コンピューター上でおこなわれた操作などの分析・解析、データの復元も行います。
メモリーフォレンジック
コンピューターの中でも、メモリー上に保存された情報に対して行う調査をメモリーフォレンジックといいます。
サイバー攻撃による情報流出の中でも、メモリー上に展開された悪意のあるソフトウェアなどが外部に情報を流出させる手口の場合、ハードディスクなどの主記憶媒体上には記録が残らないことがあります。そのような手口に対して有効なのが、メモリー上の情報を保全し、状況を分析するメモリーフォレンジックです。
モバイルデバイスフォレンジック
デジタルフォレンジックの中でも、スマートフォンやタブレットなどのモバイルデバイスに保存されているデータを調査することをモバイルデバイスフォレンジックといいます。モバイルフォレンジックと呼ぶ場合もあります。
モバイルデバイス上に保存されたデータを調査するのはもちろんのこと、データ以外にも通話履歴やアプリの使用履歴の調査も行います。必要があれば、不都合があるからと消されてしまったアプリのチャット履歴や消された通話履歴も調査します。
ファストフォレンジック
近年のデジタル技術の普及、浸透に伴い、ネットワークフォレンジック調査の対象となる端末が多いケースが増加しています。調査対象の端末が多い場合には、調査に時間がかかってしまいます。情報セキュリティインシデントが発生している状況ではスピーディな対応が求められますが、従来通りのデジタルフォレンジックでは間に合わない場合があります。
その解決方法として取り入れられているのがファストフォレンジックです。端末から必要最低限のデータ抽出を行い初動捜査とする点が通常と異なります。
被害の拡大を食い止めるのに有効です。また、初動捜査のあとは従来通りのデジタルフォレンジックを実施することが多いです。
フォレンジック調査の実施事例
実際にネットワークフォレンジック調査が行われ、法的証拠として利用された事例について紹介します。
ライブドア事件
ネットワークフォレンジック調査が脚光を浴びるきっかけとなったといわれているのが、ライブドア事件です。
2006年ライブドア社による証券取引法違反の偽計取引・風説の流布と有価証券報告書の虚偽記載の調査のためネットワークフォレンジック調査が行われました。業務に利用していたパソコンを対象としたコンピュータフォレンジックです。
調査の対象となるライブドア社はコンピュータ関連企業であり、コンピュータの操作に詳しく、問題のあるデータの削除などが行われているという背景がありました。しかし、一時記憶領域の復元などを行いデータを復旧し、証拠の確保、有罪の証拠にしたとされています。
力士八百長事件
2011年に起きた力士の野球賭博に関する事件の調査上で押収した携帯電話から、八百長が疑われるデータが検出されました。これを受けて、大相撲協会主導によるデジタル・ネットワークフォレンジック調査が行われました。力士から押収した携帯電話に対するモバイルフォレンジックが主で、携帯電話のメールおよびLINEの履歴から八百長への関与の証拠が取得されました。力士や親方など25人に波及する大きな事件でした。
その他
その他にも世間を騒がすニュースなど、ネットワークフォレンジック調査による証拠は様々な分野で利用されています。
- 製薬会社による論文データの改ざん事件
- 麻薬密売に利用された携帯電話のフォレンジックから関係者の特定
まとめ
ネットワークフォレンジック調査について解説しました。
ネットワークフォレンジック調査は、
- 削除済みデータや内部不正、サイバー攻撃に有効な調査
- インシデント発生時の原因究明や責任所在の判断材料になる
- 法的な証拠を見つける目的のため、正当な手続きで正確な解析を行う必要がある
です。また、相応のコスト・リソースもかかるので、実施する際は注意しましょう。
