ネットワークフォレンジックとは?その内容とツールを説明

ネットワークフォレンジックとは?その内容とツールを説明

目次

情報漏えいや、不正操作などがあった際、ITの分野で事件を解明するのがデジタルフォレンジックです。デジタルフォレンジックには様々ありますが、近年のシステムや脅威のネットワーク化に伴って、ネットワークフォレンジックが注目されています。今回の記事では、デジタルフォレンジックのネットワークフォレンジックを中心に説明します。


デジタルフォレンジックとは

そもそもフォレンジックとは、医学用語から来ていて、「(法医学的な)分析、調査」という意味があります。警察の「鑑識」をイメージしていただくとわかりやすいかもしれません。事件や事故が発生した際に、現場の状況を保全し、調査、解析します。

そこにデジタルを付けたデジタルフォレンジックは、情報セキュリティのインシデントが発生した際に、デジタルデータに関する分析、調査をする技術を指します。情報漏えい事件や不正操作などがあった際には、鑑識のように、情報を保全し、調査、解析をするのです。


デジタルフォレンジックの重要性

デジタルフォレンジックにより導き出された調査結果は、事件に関する法的根拠をもつ証拠となり得ます。また、責任の所在や損害賠償の金額を定めるための証拠の裏付けとしても活用されます。そして、事件が再発しないように現行のセキュリティ対策を改善するためにも重要となります。


デジタルフォレンジックの種類

デジタルフォレンジックは、下記のように分析する対象によって様々な種類があります。

  • コンピュータフォレンジック
  •  ネットワークフォレンジック
  •  モバイルフォレンジック
  •  データベースフォレンジック
  •  クラウドフォレンジック  など

デジタルフォレンジックの分野は、コンピュータフォレンジックから始まりました。これは、PC内のHDDに保存されたデジタルデータに証拠能力をもたせながら解析することが目的で、失われた証拠データを復元して事件の捜査に利用したり、法廷に提出するためのデータに改ざんがないことを証明したりします。現在では、パソコンの故障や誤操作で失われたデータを復元することも含まれます。

一方最近では、システムのクラウド化や脅威のネットワーク化によって、ネットワークフォレンジックが注目されています。

コンピュータフォレンジックではコンピュータ(ディスク)上のデータを分析しますが、ネットワークフォレンジックでは、ネットワーク上のデータの動きを分析し、「どの端末がいつ、どのような経路で、何を送ったのか」といった内容を、完全性を保った状態で記録します。

コンピュータフォレンジックとネットワークフォレンジックの2つは、それぞれを組み合わせることで高い効果を発揮するため、現在のフォレンジックの現場では頻繁に利用されます。


ネットワークフォレンジックに必要な「パケット・キャプチャ」

フォレンジックの技術はいつでも全てを完璧に解明できるわけではありません。そもそもデータのないところでは、分析もデータの保全もできません。だからこそ、必要なデータは常に安全な場所に保管することが重要になります。

たとえば、ファイルの編集ログ、外部媒体の接続履歴、インターネットの閲覧履歴、攻撃日時などがないと、コンピュータフォレンジックは難航します。

昨今では、インターネットを積極的に利用したサービスをはじめ、ネットワークで繋がることを前提としたアプリケーションサービスやIoTを悪用したサイバー攻撃が増加傾向にあります。そのため、インターネットとの境界周辺で「ネットワーク上のパケット通信の流れの記録として残されるさまざまなログ」を集約及び分析することが一般的になってきました。そのパケットの採取に必要なツールが、「パケット・キャプチャ」装置です。

※パケットとは  
パケットとは、ネットワーク経由でやり取りされるデータのかたまり。通常、ネットワーク上のやり取りは、情報をパケットに小分けして通信している。


フォレンジックツールでパケット・キャプチャはできるの?

パケット・キャプチャ単独のシステムも存在します。ただ、最近のフォレンジックツールには、パケット・キャプチャの機能や、操作ログ収集の機能など幅広い機能を併せ持つ製品も増えています。

[SSL復号装置]

ネットワークフォレンジックを実施する上で、重要な課題となるのがSSL暗号化です。クラウド上にデータを保管するストレージサービスが広く利用されていますが、これらの通信はSSLで暗号化されており、せっかく採取したパケット・キャプチャも、中身を確認することができません。また近年ではサイバー攻撃の通信もSSLで暗号化されたものが主流となってきています。

本来安全になるための技術であるSSL通信も、フォレンジック(証拠保全)の分野では、暗号化されたデータの中身が確認できず、原因調査の大きな障壁となります。この問題を解消するため、SSLを復号するハードウェア製品が用いられます。これを監視カメラの分野で考えると、空港のX線手荷物検査のような役割を果たします。


ネットワークフォレンジックは事前の仕掛けを

いかがでしたか? ITの分野で事件を解明するのがデジタルフォレンジック。その中で、ネットワークフォレンジックはコンピュータフォレンジックと違い、あらかじめ証拠を保存しておくための仕掛けが必要です。万が一の漏えい事件が起きた際に、説明責任を求められるような立場の企業は、今のうちにネットワークフォレンジック製品の導入を検討してみてはいかがでしょうか。


【参考サイト】

デジタル・フォレンジック|警察庁
デジタル・フォレンジック:インシデント時の証拠保全のための技術(佐々木良一著)|J-STAGE


残してきた実績

設立から48年。
大切なものにフォーカスしてきたからこその実績があります。
公共・民間ともに多数の実績を残してきました。

年間プロジェクト数

500PJ

年間取引先・顧客数

200

最長取引年数

47

延べ資格取得者数

1,870