個人情報の流出事件があとを絶たない昨今、「セキュリティ対策」は多くの企業にとって、優先度が高く関心の高い業務課題の一つです。しかし、セキュリティ対策は高度な知識を必要とする専門家が必要であるという特殊な事情も絡み、人材確保はなかなか進んでいないのが実状です。さらに、追い打ちをかけるように、サイバー攻撃は日々進化しています。

このような背景から、大企業ではセキュリティ対策を様々な部署と連携し組織的なチーム編成で取り組む「CSIRT体制」の構築も当たり前となってきました。しかし、昨今のCSIRT体制で浸透しつつある「デジタルフォレンジック業務」は特に専門性が高いため、未だ人材教育や人材確保の課題が多くあります。

そこで本記事では、CSIRT体制構築の背景や、人材不足を解消するデジタルフォレンジック業務のリモートサービスの活用について解説します。

CSIRT体制構築の必要性


企業のデジタル化が進む一方、自分たちが使用するデジタル機器やシステムをどのようにして守っていくかは大きな課題となっています。企業のデジタル機器やシステムは日々、その脆弱性を突いたマルウェアなどのサイバー攻撃の標的にされているのです。万が一、これらのサイバー攻撃に耐えられなければ、個人情報や機密情報の漏えい、システムの破壊などを引き起こされ、業務の停止や中断など重大な経営の危機に晒されることになります。


昨今の企業向けにカスタマイズ化された攻撃手法など、日々進化するサイバー攻撃の脅威に一企業の一担当者のみでセキュリティ対策を実施することは不可能になっており、大企業を中心に「CSIRT体制」を構築することは今や当たり前となってきました。


CSIRT(シーサート)
とは「Computer Security Incident Response Team」の略称で、コンピュータやネットワーク上で何らかの問題が起きていないかを日々監視すると共に、万が一セキュリティインシデントが発生した際に、その原因解析や影響範囲の調査を行ったりするチームの総称となります。(詳細は「今や当たり前となってきたCSIRTの設置とデジタルフォレンジック業務の重要性について」の記事も参照ください)


CSIRTを自社内に設置することによって、関連部署や他のセキュリティ関連の協力会社、関連団体と連携してトラブルに備えることが出来ます。デジタル機器やシステムを標的としたサイバー攻撃は日々進化しており、このような組織間の相互協力関係は、今や不可欠なのです。


CSIRTは最近生まれた概念と考えられがちですが、実際には1988年のアメリカにはすでに存在していたものです。1988年当時のアメリカでCSIRTが生まれた背景には、モリスワームと呼ばれるマルウェアの被害に悩まされていたことが原因としてあります。理系大学の有名校として知られるカーネギーメロン大学に中心的な役割が与えられ、CSIRTの組織は結成されました。さらに、1990年には国境を越えて情報の収集を行う国際的な組織もできたのです。

日本でも似たような組織が1996年に発足しており、CSIRTの概念は今後ますます世界中に広まっていくことが考えられます。

デジタルフォレンジック業務とは


CSIRT
体制では日々さまざまな活動が行われていますが、「デジタルフォレンジック業務」も今や当たり前の時代となってきました。(デジタルフォレンジックの詳細については、「重大インシデントから企業を守るために民間企業が注目するフォレンジック調査とは?」の記事も参照ください)

しかし、「デジタルフォレンジック」は、非常に高度な知識が要求される専門性の高い業務です。そのため、多くの企業が人材不足に悩まされています。


フォレンジックとは法廷を意味する言葉であり、法的な証拠を探す行為を指します。一方、デジタルとはその名の通りデジタル機器全般を指しており、パソコンやサーバーなどがこれに該当するでしょう。つまり、デジタルフォレンジック業務とは、パソコンなどのデジタル機器の中から、インシデント(事象)に対する法的な証拠を探し出す行為を表す言葉なのです。


これは、外部からのサイバー攻撃に関わらず、「内部の不正」に対しても有効です。たとえば、ある不正を働いた担当者が当時のデータを意図的に抹消し証拠を消されてしまったとします。このようなときに活躍するのがデジタルフォレンジックを専門としている人たちです。デジタルフォレンジックではカーネル層のデータに直接アクセスが可能なため、意図的に破壊されたデータを復元したり、ログの解析などを行ったりすることで、デジタルデータの中から法的な証拠を見つけることができるのです。


デジタルフォレンジックは「収集」・「解析」・「分析」・「報告」という一連のプロセスで行われるものです。「収集」は主にコピー機能などを使って証拠保全を行う段階、「解析」は様々なメディアから可読情報をつくっていく段階、「分析」はデータ化された情報から調査目的に応じた情報を探し出す段階、「報告」は調査結果を整理していく段階となります。


デジタルフォレンジックの実例をひとつ紹介すると、過去に証拠となるフロッピーディスクの改ざんを証明した例がありました。ツールを使って意図的にフロッピーディスク内の日付を書き換えていましたが、一太郎と呼ばれる当時のワープロソフトが記録していた日付と食い違いが発覚して改ざんが証明されたのです。


このように、デジタルフォレンジック業務は必要なデータを一つずつ丹念に調べていく根気のいる作業です。そしてもちろん、解析をする高度な専門知識も必要になります。大手企業でもこのような人材を確保することは容易ではないので、デジタルフォレンジック業務の内製化にはまだまだ課題があるといえるでしょう。

リモートフォレンジックサービス活用のススメ


「リモートフォレンジック」とは、デジタルフォレンジック業務をリモートで行うことを指します。「リモート」とは「遠隔」という意味の言葉で、「リモートフォレンジック」の場合、ネットワークを経由して、遠く離れたところにいる人がフォレンジックを使い調査、分析をすることを意味します。

つまり、デジタルフォレンジックの専門家がセキュアなネットワークを通じて、どこにいようと、どこにある機器であっても調査や分析してくれる非常に便利なサービスといえるでしょう。


リモートフォレンジックを企業が利用することは、複数の利点があります。

 

高度な専門家の知見をサービスとして活用できる


デジタルフォレンジックで実績のある専門家に業務を頼めるというは大きな強みです。高度な知識をもった専門家を常駐させている企業は少ないのが現状です。しかも、そのような人材はそもそも多くなく今から採用しようにも、簡単にはいかないでしょう。今すぐ、高い知見と技術をもった専門家に頼めるというは心強い。

人材教育や人材確保にかかる採用コストを低減


フォレンジック業務は、担当者が高度な知識を有するまでに時間がかかり、それまでに発生する教育コストが課題となります。また、IT業界の人材不足が叫ばれている昨今では、最初から高度な知識を有する人材を確保するためには、多大な採用コストが発生する事が見込まれ、リモートフォレンジックサービスの活用により、このような教育や採用コストを抑制できるでしょう。 

グローバル拠点のセキュリティ対策など、場所に依存しない対策が可能になる


海外に営業支店や工場などを複数持つグローバル企業では、当たり前ですが拠点毎に本社のセキュリティ基準に応じたセキュリティ対策が必要となります。リモートフォレンジックサービスの活用により、拠点毎に専門家を置く必要がなく、全世界で品質の統一されたセキュリティ対策や管理が可能になるでしょう。




自社のCSIRT体制でのデジタルフォレンジック業務に不安がある、人材が足りない、拠点の管理まで行き届いていないなどの課題を抱える企業は、是非リモートフォレンジックサービスの活用をお勧めしたい。

まとめ


CSIRT
体制によるセキュリティ対策は大手企業を中心に当たり前となりつつあり、以前に比べると意識は格段に高まってきたといえます。

ただ、依然としてデジタルフォレンジックなどの高度な知識を必要とする業務は人材不足であることが実状です。

このような状況の中、リモートフォレンジックのサービスで豊富な知識を持った専門家を活用できることは、リスク面やコスト面で大きなメリットがあります。是非、利用検討してみてはいかがでしょうか。