フォレンジックの基礎 -サイバー攻撃に対処する科学捜査-

フォレンジックとは？

フォレンジック（forensic）とは、犯罪捜査や内部統制、情報漏えい対策として利用される技術です。データのコピー、改ざんなどの痕跡を残したり、故意に削除された情報を復元することでコンピュータ上の不正操作を可視化することができます。IT用語では「デジタルフォレンジック」と表記されることもあります。いわゆる「デジタル鑑識」です。

フォレンジックは通常、法廷や警察で使用される用語であり、一般の刑事事件や裁判での立証に使用されます。一方一般企業では、サイバー攻撃を受けた時の原因究明・分析や不正行為発覚時の処理に使用されます。

このようなネットワークの不正使用、サービス妨害行為、データ破壊、意図しない情報開示などの行為への対処のことを「インシデントレスポンス」と呼びます。フォレンジックツールを導入することでインシデントレスポンスに大きく貢献します。

フォレンジックの種類

フォレンジックは、大きく2つに分類できます。

■コンピュータフォレンジック

コンピュータ自身に対して調査を行うこと。HDDやSSDなどのディスクに対する「ディスクフォレンジック」と、稼働中コンピュータのメモリデータに対する「メモリフォレンジック」に細かく分類される。

■ネットワークフォレンジック

ネットワークログやパケットデータに対して調査を行うこと。

サイバー攻撃や不正が判明した際、通常のフローは以下のようになります。

• 1）ネットワークフォレンジックを使用し、ネットワーク全体から疑わしいPCを特定
• 2）特定したパソコンに対してコンピュータフォレンジックを行う
  　　このパソコンのHDDを複製し、1つは証拠用に残し、もう1つは解析用にあてる

したがって、2種類のフォレンジックを経由して原因究明を推し進めます。

フォレンジックができること

●ログから違法行為を割り出す

刑事事件の操作の際に現場から証拠を押収するように、フォレンジックに搭載された記憶装置からデータを抽出します。いつ、どこで、誰が、何を行ったかといった情報が随時蓄積されるので、インシデントレスポンスに役立ちます。

●消去されたデータを復元できる

破壊されたデータや消去されたデータを復元することができます。サイバー攻撃対策だけではなく、企業のデータ保全、解析、保管などにも活躍します。

●データが捏造されたか分かる

蓄積されたデータの中で、どの部分がコピー、消去、改ざんされたかが分かります。ハッシュ値やデジタル署名を付与することで、データの改ざんを防止することもできます。

まとめ

以前は警察や法廷で使用されていたフォレンジック。サイバー攻撃が高度化・複雑化した現代において、企業にもインシデントレスポンスが不可欠です。どの企業でも被害を被る可能性があるので、早めに処理体制を確立することをおすすめします。