フォレンジックとは？必要性や調査方法をわかりやすく解説

フォレンジックは解析する対象によって、複数の種類に分類できます。

フォレンジックの種類

■コンピュータフォレンジック

コンピュータを調査すること。HDDやSSDなどのディスクに対する「ディスクフォレンジック」と、稼働中コンピュータのメモリデータに対する「メモリフォレンジック」に細かく分類される。

■ネットワークフォレンジック

パケットキャプチャを用いて、ネットワークログやパケットデータを調査すること。

■モバイルデバイスフォレンジック

スマホなどのモバイルデバイスを調査すること。端末データのほか使用履歴やアクセスログなども対象。

コンピュータフォレンジックでは、削除されたデータを復元するほか、外部メモリなどの記録媒体が接続した痕跡を調査します。そのためフォレンジックを実施するには、端末やネットワークに関する専門の知識を要するほか、セキュリティ対策や法律に関する知識も必要です。

フォレンジックでできること

フォレンジックを用いると具体的に何ができるかを以下にまとめました。

• ●ログから違法行為を割り出せる
• ●消去されたデータを復元できる
• ●データが捏造されたかわかる

フォレンジックはセキュリティ事故発生時の原因特定に役立つほか、企業のデータ保全や改ざん防止などのリスク回避にも活用できます。不正アクセスやデータ破壊など、さまざまなデジタルリスクに備えられるでしょう。

フォレンジック調査のプロセス

サイバー攻撃や不正が判明した際には、フォレンジックを用いて原因を特定するための検証作業を行います。フォレンジック調査は次の手順で進められます。

１．証拠保全

インシデントが発生したら、まずは発生時の状況を把握し、関連するデータはすべてコピーして保存する。

２．データの解析

ディスクや各メディアから、タイムライン情報や履歴の作成、ファイルの復元などを行う。

３．必要な情報を抽出

取り出した多くの情報から、調査に関連する情報を抽出し、原因を特定・検証する。

４．報告

明らかになった情報を元に調査結果をまとめる。

フォレンジック調査における注意点と対策

ここでは、フォレンジック調査をする際の注意点や対策方法を紹介します。

調査対象が多く準備に時間がかかる

フォレンジック調査は証拠保全やデータの収集など、調査の準備に時間がかかります。デジタルデータが増加傾向にある昨今では、担当者の負担も大きいでしょう。そこで注目されているのが、時間短縮に特化した「ファスト・フォレンジック」です。必要最低限のデータに調査対象を絞るほか、調査対象の端末にあらかじめネットワークフォレンジック製品を導入しておくことで、データ収集の自動化・効率化が可能です。

知識や技術ノウハウが社内にない

フォレンジック調査は原因の特定だけでなく、法的証拠としても活用されます。そのため、自社ですべて対応しようとするとかえって証拠の確保が難しくなるかもしれません。例えば、データのコピーが客観的証拠として認められない可能性や、誤操作によるデータの紛失や書き換えなどが考えられます。

インシデント発生時には、被害状況と影響を迅速に把握し、関係者への連絡やマスコミへの対応が求められます。被害にあった際すぐにフォレンジック調査が開始できるよう、相談するフォレンジック専門業者をいくつか選んでおくとよいでしょう。

フォレンジックを知り、インシデント対策を強化しよう

サイバー攻撃が高度化・複雑化した現代において、フォレンジックを活用した対策が不可欠です。対応フローの確立やセキュリティ体制の見直しなど、身近な対策からはじめてみましょう。また、ネットワークフォレンジック製品の導入を検討するほか、専門業者を事前にいくつかピックアップしておくなどの対策も講じてみてください。