フォーカスノート
デジタルフォレンジックとは何か?その種類や手順を紹介
目次
皆さんは「デジタルフォレンジック」という言葉を聞いたことはあるでしょうか。デジタルフォレンジックとは情報漏えいや、不正操作などがあった際に、データの保全や解析をする技術のことです。今回の記事では、デジタルフォレンジックについて紹介します。
デジタルフォレンジックとは
そもそもフォレンジックとは、医学用語から来ていて、「(法医学的な)分析、調査」という意味があります。警察の「鑑識」をイメージしてもらえばわかりやすいと思いますが、事件事故が発生した際に、現場の状況を保全し、調査、解析します。
そこにデジタルをつけた「デジタルフォレンジック」は、情報セキュリティのインシデントが発生したときに、デジタルデータに関する分析、調査をする技術を指します。情報漏えい事件や、不正操作などがあったとき、鑑識のように、情報を保全し、調査、解析する技術です。
デジタルフォレンジックの重要性
デジタルフォレンジックにより導き出された調査結果は、事件に関する法的根拠をもつ証拠となり得ます。
また企業側としては、責任の所在や損害賠償の金額に関わる重要な証拠の裏付けとしても活用されます。さらに、同様の事件が再発しないように、現行のセキュリティ対策を改善するためにも重要だと言えるでしょう。
デジタルフォレンジックの種類
デジタルフォレンジックは、分析する対象によって名称を細かく分けることができますが、覚えておくべきは下記の「コンピュータフォレンジック」「モバイルフォレンジック」「ネットワークフォレンジック」の3種類です。
ではここで、それぞれどのようなものなのか見てみましょう。
コンピュータフォレンジック
コンピュータフォレンジックとは、パソコンのハードディスクなど、コンピュータ上に保存された情報を調査・解析する技術です。
パソコンに限らず、サーバーなどのコンピュータ上でどのような操作が行われたのかという証拠を見つけ出します。時には隠蔽工作としてデータを削除されていることもありますが、フォレンジックツールを利用すれば、ファイルを復元することが可能な場合もあります。
モバイルフォレンジック
モバイルフォレンジックとは、スマートフォンなど、モバイル端末のデータを調査・解析する技術です。通話履歴やアプリケーションの使用履歴などの情報を集めます。
コンピュータに保存されたデータを扱うという点で、コンピュータフォレンジックとも言えますが、スマートフォンの普及とともに、モバイルフォレンジックの存在感が高まっています。実際、2016年に、警視庁が犯罪捜査のために調査・解析したデータの中で、スマートフォンの割合が一番多いなど、モバイルが犯罪に悪用されることが増えてきています。
ネットワークフォレンジック
昨今では、インターネットを積極的に利用したサービスなどに対するサイバー攻撃が増加傾向にあるため、インターネットとの境界周辺で「ネットワーク上のパケット通信の流れの記録として残されるさまざまなログ」を集約及び分析することが一般的になってきました。
パケットとは、ネットワーク経由でやり取りされるデータのかたまりのことで、通常ネットワーク上ではデータをパケットに小分けして送信しています。そのパケットの情報を収集することで、どの端末から、いつ、どのような経路で、どんなデータを送信したのか、といった内容が調査・解析する技術がネットワークフォレンジックです。
デジタルフォレンジックの手順
デジタルフォレンジックには一般的な手順があります。
① 事前準備
事前準備とは、デジタルフォレンジックが必要になるインシデントが発生する前の対策のことです。具体的には、初動対応や証拠保全のフローを迅速且つ正確に実施できる体制を整えておくことです。
② 証拠保全
インシデントが発生した後、デジタルフォレンジックのためにまずやるべきことは、データの保全です。できるだけ発生時の状況を正確に保存するため、インシデント発生時の状況や内容を迅速且つ正確に把握し、それらに応じた保全作業を実施します。
③ 秘匿データの復元、複号
重要な証拠の多くは削除や暗号化、見えないように隠されているなど、証拠データが秘匿されているケース(アンチフォレンジックと呼ばれる)もよく見られます。そのインシデントにおけるフォレンジック調査の目的、対象に応じて復元、復号を行っておくことで、後の解析にかかる時間を短縮できる場合もあります。
④ データの解析
証拠保全したデータや、復元したデータを解析して、何が、いつ、誰によって起こされたのか、インシデントの原因究明を進めます。
⑤ 報告
解析によって得られた結果を報告します。
事前準備と証拠保全の重要性
デジタルフォレンジックの手順の中で重要なのは、「事前準備」と「証拠保全」です。
インシデントが発生した後には、証拠保全、データの復元、データの解析という手順を行いますが、すべては基となるデータが存在して初めてできることです。
たとえば、社内で操作ログやパケットの収集が一切行われていない状況だと、インシデントが起きたとしても、保全するデータもなければ、復元するためのデータもなく、解析できるデータもありません。そのため、操作ログやデータのバックアップ、パケットの収集ができる仕組みを事前に整えておくことが重要です。
また、操作ログやパケットを収集していたとしても、あまりデジタルフォレンジックに詳しくない人がインシデント対応をすると、間違って情報を書き換えてしまったり、消してしまうケースも少なくありません。何か問題が発生したら、不用意な操作はせず、セキュリティチームや専門家へ報告、相談しましょう。
最後に
いかがでしたか? インシデントが発生しないよう対策を取ることはもちろん大切ですが、完璧な情報セキュリティは存在しません。 デジタルフォレンジックについては、インシデントが発生してから考えるのではなく、インシデントが発生する前から、対応を考えておきましょう。
また、インシデントが発生した後に、スピーディーに原因を究明し、被害を最小限に抑え、再発を抑止するための改善を行うことも、とても大切なことです。専門家の意見を参考に、組織内で情報セキュリティへの意識を上げていきましょう。
【参考サイト】
・デジタル・フォレンジックとは|デジタル・フォレンジック研究会
