【東証一部企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?

外部からのサイバー攻撃などを受けたときにはフォレンジック調査を行います。しかし、フォレンジックに関して理解をしているでしょうか。

本記事ではフォレンジックの概要や調査方法、課題などを解説します。フォレンジックの理解を深めたい場合は、ぜひご覧ください。

そもそもフォレンジックとは?

フォレンジックとは、情報漏洩対策や犯罪捜査などで利用される技術です。コンピューターネットワークや外部メモリからデータを集めて解析、法的証拠として活用していくことを意味します。

基本的にフォレンジックは法廷や警察で使用される用語とされており、刑事事件や裁判の立証に使用されています。一般企業においてはサイバー攻撃を受けた際の原因究明・分析、不正行為発覚時の処理に使用されることが多いです。

なお、フォレンジックは内容によって以下のように分類されます

・コンピュータフォレンジック

コンピュータを調査することです。HDDやSSDなどのディスクに対するディスクフォレンジックと、稼働中のコンピュータに対するメモリフォレンジックがあります。削除されたデータの復元のほかにも外部メモリなどが接続した痕跡を調査することもあります。

・モバイルデバイスフォレンジック

スマホやタブレット端末などのモバイルデバイスを調査することです。端末データや使用履歴、アクセスログなどが調査の対象となります。

・ネットワークフォレンジック

ポケットキャプチャを用いてネットワークやパケットデータを調査することです。

以上のようなフォレンジックでは、ログから違法行為を割り出したり消去されたデータを復元できたりします。また、データの捏造があったかを調べることが可能です。

また、近年不正アクセスの認知件数が増加していることがあり、各企業はサイバー攻撃から身を守り、インシデント発生時の調査体制の強化が求められており、フォレンジックは大きな意味があります。

フォレンジックの調査方法

フォレンジックは「証拠保全」「データ解析」「必要な情報の抽出」「報告」という流れで進んでいきます。

証拠保全

まずはデータが残っているパソコンや外部メモリなどの記録媒体を収集して保全します。収集されたパソコンなどはしかるべき手順で保全され、メディアの完全コピーも同時に行います。

証拠保全は専用の機器を使用しますが、メディアの容量や規格、数量などによって丸1日がかりになることが考えられます。対象となる端末が海外などの遠隔地にある場合は、取り寄せるだけでも数日間必要でしょう。

データ解析

データ解析ではメディアから可読情報を取り出します。メディアの情報を完全にコピーしてもそのままの状態では判別や解釈がしにくいためこの作業を行います。

データの作成日時や更新日時などの情報からファイルを時系列に並べる、削除されたデータを復元するなどに取り組みます。このような作業を行うことで、メディアはデータ化されて、人が読み解きやすくなります。

解析時は専用ツールを使って半自動で行いますが、メディアの容量や数量などによって数日かかる可能性があります。

必要な情報の抽出

データ解析が終了してからようやく調査に関連する情報の抽出に移ります。すべての情報が必要となるとは限りませんので、目的に応じて情報を探します。

例えば、マルウェア感染の事案であれば、マルウェア検体の抽出、感染時刻の特定、感染後の挙動などをデータから抽出します。このデータの抽出作業はほとんど人力です。そのため、ファイルシステムやOS、マルウェア解析などに関して高度な知識を持つ人材が必要です。

報告

報告では分析して得られた情報をもとにして調査結果を整理していきます。情報の抽出や分析で得られる情報は断片的であり、情報の補完を行いながら解釈を加える作業が必要なのです。

ファクトのみの報告では読み手の負担を増やしてしまうため、全容とポイントが簡潔にわかるように整理して、読み手の理解を促すことが大事です。レポートは定形化や自動化できる部分がありますが、人手による非定形な作業が必要となります。

フォレンジックの課題

フォレンジックには主に2つの課題があります。

1つは準備に時間がかかることです。これは調査対象が多いからです。特に近年ではデジタルデータが増加傾向であり、担当者の負担が増えているのではないでしょうか。

そこで注目されているのが「ファストフォレンジック」です。必要最低限のデータに調査対象を絞って、調査対象の端末にあらかじめフォレンジック製品を導入することで、効率的な調査を可能にする仕組みです。

もう1つの課題は、知識や技術、ノウハウが蓄積されていないことです。フォレンジックは法的根拠として使われることがあり、証拠の保全に難しさがあります。データの紛失や書き換えなどさまざまな事象に対応するさいにも知識が必要となるのです。

自社でノウハウの蓄積が困難な場合は、外部業者に委託する必要があるでしょう。

フォレンジックを理解して対策を強化しよう

サイバー攻撃などが巧妙化しており、フォレンジックを活用した対策が求められる時代です。対応フローの確立、セキュリティ体制の見直しなど、身近な対策から検討してインシデント対策を強化していきましょう。

【東証一部企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?