もし、サイバー攻撃を受けたらどうしますか?とある調査によると、高度なサイバー攻撃は、世界中で、もちろん日本国内でも日常茶飯事の出来事といえるほど起きていると言われています。とても他人事ではありません。
サイバー攻撃を防ぐために、各企業がセキュリティ対策を行っていると思います。それでもなお、被害を受けることは往々にしてありうることです。社内の顧客情報の盗難や改ざん、アクセスを1つの企業に集中させて機能不全にさせるなどの被害が想定されます。こういったトラブルが起きた際に迅速に処理を行う「フォレンジック」について、理解を深めましょう。
フォレンジックとは?
フォレンジック(forensic)とは、犯罪捜査や内部統制、情報漏えい対策として利用される技術です。データのコピー、改ざんなどの痕跡を残したり、故意に削除された情報を復元することでコンピュータ上の不正操作を可視化することができます。IT用語では「デジタルフォレンジック」と表記されることもあります。いわゆる「デジタル鑑識」です。
フォレンジックは通常、法廷や警察で使用される用語であり、一般の刑事事件や裁判での立証に使用されます。一方一般企業では、サイバー攻撃を受けた時の原因究明・分析や不正行為発覚時の処理に使用されます。
このようなネットワークの不正使用、サービス妨害行為、データ破壊、意図しない情報開示などの行為への対処のことを「インシデントレスポンス」と呼びます。フォレンジックツールを導入することでインシデントレスポンスに大きく貢献します。
フォレンジックの種類
フォレンジックは、大きく2つに分類できます。
- ■コンピュータフォレンジック
コンピュータ自身に対して調査を行うこと。HDDやSSDなどのディスクに対する「ディスクフォレンジック」と、稼働中コンピュータのメモリデータに対する「メモリフォレンジック」に細かく分類される。
- ■ネットワークフォレンジック
ネットワークログやパケットデータに対して調査を行うこと。
サイバー攻撃や不正が判明した際、通常のフローは以下のようになります。
- 1)ネットワークフォレンジックを使用し、ネットワーク全体から疑わしいPCを特定
- 2)特定したパソコンに対してコンピュータフォレンジックを行う
このパソコンのHDDを複製し、1つは証拠用に残し、もう1つは解析用にあてる
したがって、2種類のフォレンジックを経由して原因究明を推し進めます。
フォレンジックができること
- ●ログから違法行為を割り出す
- 刑事事件の操作の際に現場から証拠を押収するように、フォレンジックに搭載された記憶装置からデータを抽出します。いつ、どこで、誰が、何を行ったかといった情報が随時蓄積されるので、インシデントレスポンスに役立ちます。
- ●消去されたデータを復元できる
- 破壊されたデータや消去されたデータを復元することができます。サイバー攻撃対策だけではなく、企業のデータ保全、解析、保管などにも活躍します。
- ●データが捏造されたか分かる
- 蓄積されたデータの中で、どの部分がコピー、消去、改ざんされたかが分かります。ハッシュ値やデジタル署名を付与することで、データの改ざんを防止することもできます。
まとめ
以前は警察や法廷で使用されていたフォレンジック。サイバー攻撃が高度化・複雑化した現代において、企業にもインシデントレスポンスが不可欠です。どの企業でも被害を被る可能性があるので、早めに処理体制を確立することをおすすめします。