フォレンジックとは？必要性や調査方法をわかりやすく解説

年々増加するサイバー攻撃に対して、どのような対策をとっていますか。この記事では、セキュリティインシデント発生時に社内ネットワークや各デバイスから原因を特定する「フォレンジック」について、わかりやすく解説します。また、フォレンジックが注目される法的背景や、調査手順もあわせて紹介します。なお、フォレンジックツールの一括資料請求も可能なため、製品をじっくり検討したい方はぜひご利用ください。

この記事は2023年9月時点の情報に基づいて編集しています。

フォレンジックとは

フォレンジック（forensic）とは、犯罪捜査や内部統制、情報流出対策として利用される調査・分析技術です。コンピュータやネットワーク、外部メモリなどから情報を収集・解析し、法的証拠として活用します。IT用語では「デジタルフォレンジック」と表記されることもあります。

フォレンジックは通常、法廷や警察で使用される用語であり、一般の刑事事件や裁判での立証に使用されます。一般企業では、サイバー攻撃を受けた時の原因究明や分析、不正行為発覚時の処理にフォレンジック技術が使用されます。

情報漏えいにおける企業の現状と課題

令和２年の不正アクセス認知件数はおよそ2,800件でした。増減を繰り返しつつも、長期的にみると増加傾向にあります。対して検挙件数は約600件で、被害者のほとんどが一般企業です。

また、一番多い被害の内容は「インターネットバンキングでの不正送金」で、ついで「メールの盗み見などの不正入手」です。個人情報を取り扱う企業にとっては、信用問題にもつながる脅威の一つでしょう。

不正アクセスの被害が増加するなか、2022年４月より改正個人情報保護法が施行されました。個人情報の取り扱いが厳格化されたほか、漏えい時は通知の義務・怠った場合の厳罰化が新たに定められました。各企業は増えるサイバー攻撃から身を守りつつ、インシデント発生時における調査体制の強化も求められています。

参考：令和3年版犯罪白書｜法務省
参考：個人情報の保護に関する法律等の一部を改正する法律（概要）｜個人情報保護員会

フォレンジックの種類

フォレンジックは解析する対象によって、複数の種類に分類できます。

■コンピュータフォレンジック: コンピュータ機器を調査する。HDDやSSDなどのディスクに対する「ディスクフォレンジック」と、稼働中コンピュータのメモリデータに対する「メモリフォレンジック」に細かく分類される。
■ネットワークフォレンジック: パケットキャプチャを用いて、ネットワークログやパケットデータを調査する。
■モバイルデバイスフォレンジック: スマホなどのモバイルデバイスを調査する。端末データのほか使用履歴やアクセスログなども対象。

コンピュータフォレンジックでは、削除されたデータ復元をするほか、外部メモリなどの記録媒体が接続した痕跡を調査します。そのためフォレンジックを実施するには、端末やネットワークに関する専門の知識を要するほか、情報セキュリティ対策や法律に関する知識も必要です。

フォレンジックでできること

フォレンジックを用いると具体的に何ができるかを以下にまとめました。

●ログから違法行為を割り出せる
●消去されたデータを復元できる
●データが捏造されたかわかる

フォレンジックはセキュリティ事故発生時の原因特定に役立つほか、企業のデータ保全や改ざん防止などのリスク回避にも活用できます。不正アクセスやデータ破壊など、さまざまなデジタルリスクに備えられるでしょう。

フォレンジック調査のプロセス

サイバー攻撃や不正が判明した際には、フォレンジックを用いて原因を特定するための検証作業を行います。フォレンジック調査は次の手順で進められます。

１．証拠保全: インシデントが発生したら、まずは発生時の状況を把握し、関連するデータはすべてコピーして保存する。
２．データ解析: ディスクや各メディアから、タイムライン情報や履歴の作成、ファイルのデータ復旧などを行う。
３．必要な情報を抽出: 取り出した多くの情報から、調査に関連する情報を抽出し、原因を特定・検証する。
４．報告: 明らかになった情報を元に調査結果をまとめる。

フォレンジック調査における注意点と対策

ここでは、フォレンジック調査をする際の注意点や対策方法を紹介します。

調査対象が多く準備に時間がかかる

フォレンジック調査は証拠保全やデータの収集など、調査の準備に時間がかかります。デジタルデータが増加傾向にある昨今では、担当者の負担も大きいでしょう。そこで注目されているのが、時間短縮に特化した「ファスト・フォレンジック」です。必要最低限のデータに調査対象を絞るほか、調査対象の端末にあらかじめネットワークフォレンジック調査サービスを導入しておくことで、データ収集の自動化・効率化が可能です。

知識や技術ノウハウが社内にない

フォレンジック調査は原因の特定だけでなく、法的証拠としても活用されます。そのため、自社ですべて対応しようとするとかえって証拠データの確保が難しくなるかもしれません。例えば、データのコピーが客観的証拠として認められない可能性や、誤操作によるデータの紛失や書き換えなどが考えられます。

インシデント発生時には、被害状況と影響を迅速に把握し、関係者への連絡やマスコミへの対応が求められます。被害にあった際すぐにフォレンジック調査が開始できるよう、相談するフォレンジック調査業者をいくつか選んでおくとよいでしょう。

フォレンジックを知り、インシデント対策を強化しよう

サイバー攻撃が高度化・複雑化した現代において、フォレンジックを活用した対策が不可欠です。対応フローの確立やセキュリティ体制の見直しなど、身近な対策からはじめてみましょう。また、ネットワークフォレンジック製品の導入を検討するほか、フォレンジック調査会社を事前にいくつかピックアップしておくなどの対策も講じてみてください。

なお、ITトレンドではフォレンジックツールの一括資料請求が可能です。社内検討の際にも活用できる比較表作成特典もあるので、ぜひ役立ててください。