「デジタルフォレンジック」とは、電子機器上に残されたデジタル証拠を収集・分析し、脅威や攻撃に対処するための技術を意味します。(コンピュータフォレンジックとも呼ばれます。)
レスリー・カーハート氏(@hacks4pancakes)のブログの表現を借りると、「デジタルなあらゆる“モノ”を対象に、誰が、いつ、何をしたかを突き止める、ワクワクするような科学です。かといって、CSIやNCISを舞台にしたドラマに出てくるようなものとは全く違います」
また、「デジタルフォレンジック・インシデントレスポンス(DFIR)」とは、サイバーセキュリティの捜査技術をデータ漏洩やマルウェアなどに応用させたものです。
Guidance Software(現OpenText)が1998年に、法執行機関向けの犯罪捜査用ツールであるEnCaseをリリースし、これをもってデジタル捜査という新たなソフトウェアジャンルの幕開けとなりました。今日に至っては、デジタルフォレンジックは「サイバーセキュリティ」や「企業内調査」、「eディスカバリー(eDiscovery)」といった分野において広く企業に浸透しています。連邦当局が違法者の検挙にデジタル証拠を活用したように、ITやセキュリティ、法務の各部署もデジタルフォレンジックの技術を使用して証拠を収集、保護、分析し、サイバー攻撃や内部脅威に対する防御を行ったり、内部調査を実施できます。
図)デジタルフォレンジックによるデータの深層解析技術の例と適用範囲
デジタルフォレンジックのソリューションには一般的に以下の機能が搭載されています。
- 従来型のコンピュータやシステムからモバイルデバイスまで、多種多様なデバイスからデータを取得する機能
- デバイスとオペレーティングシステム上で発生したプロセスやアクションを詳細に確認する機能
- 包括的で採用可能な調査を遂行する機能
- 高度なレポート機能
法執行機関におけるデジタルフォレンジックの活用
法執行の各機関においては、デバイス上やネットワーク上に存在する証拠の収集、トリアージ、調査、レポートを行うために、フォレンジック用のソフトウェアとハードウェアが使用されています。デジタルフォレンジックの技術を通して、捜査員は犯罪捜査に直接関与する証拠を入手できるだけでなく、陳述内容を確認したり、文書の認証を行ったり、時系列表を作成することができます。
デジタルデバイスやデジタルサービスの増加に伴って、残されるデジタルフットプリントの数も膨大になっています。捜査員はフォレンジックツールを使用して、これらのデジタルフットプリントを調査・把握し、事件の解明を図ります。デジタルフォレンジックの技術は、これまでに話題となった多くの刑事訴追で活用されています。
中でも世界各国の捜査員によって使用されているOpenTextのEnCase Forensicは、靴爆弾犯のリチャード・リードやBTKキラー、スコット・ピーターソンといった、世間を騒がせた多くの事件の訴追で実際に使用されています。
デジタルフォレンジックを企業内調査に応用
訴訟、データ漏洩、不正、内部脅威、人事問題など、あらゆるリスクが蔓延する中、どのような組織であっても、デジタルデータの調査が必要となる場面に必ず遭遇することになります。サイバーセキュリティ対策は今やマストとなっています。
訴訟では主にeディスカバリー(eDiscovery)対策が中心となりますが、本記事ではDFIR(Digital Forensics and Incident Response)によるセキュリティ対策を中心に取り扱います。DFIRの担当チームはデジタルフォレンジックを通して、ネットワーク上の疑わしい行動の検知、犯人の特定、インシデントの封じ込めを行い、今後似たような攻撃に曝されないようインフラの保護措置を講じます。
経験を積んだチームであれば、疑わしいインシデントが検知された場合に、その問題に対処するために踏むべき各ステップを示した処理ワークフローをまとめているはずです。
これは通常、物理的なハードドライブ、追跡されたウェブブラウザー、電子メールの履歴、ファイルやレジストリのログ、さらにはオフラインのネットワークのエンドポイントなど、発信源となりそうなあらゆるものを集めることから始まります。ここで、企業内のエンドポイントとしてフォレンジック調査の対象となるのは、従来型のデスクトップコンピュータやノートパソコンだけではありません。スマートフォンやタブレットを仕事にも利用することが増えるにつれて、モバイルに対するフォレンジック機能の需要も高まっています。
デバイス上で行われた行動のほぼすべてが「アーティファクト」としてそこに残され、これらをデジタルフォレンジックの分析対象とすることができます。調査結果の信頼性を担保するためには、すべてのデータを保護し、改ざんされないようにすることが重要です。
情報の発信源が集められた後は、通常、OpenText EnCase Endpoint InvestigatorやEnCase Mobile Investigatorなどの検証可能なデジタルフォレンジックツールを使用して証拠を分析し、断片をつなぎ合わせて問題の全貌をつかみ、誰に責任があるか、何が行われたか、影響度はどのくらいかを把握します。
ここで、インシデントを正確に評価するには最新のデジタルフォレンジック技術を使用することが不可欠となります。情報セキュリティの担当者は膨大な数の脅威に対処しなければならないため、効率性も質の高いDFIRツールに求められる重要な特徴となります。
「DFIR(デジタルフォレンジックとインシデント対応)」とは?
証拠を分析し、パズルをつなぎ合わせたら、次はインシデントレスポンスです。ここでまず目標となるのは、他のデバイスに拡散されないよう問題を封じ込め、攻撃に曝されるエンドポイントの数を最小限に抑えることです。
次に、問題の原因を取り除きます。これにはマルウェア、ネットワークインフラへの不正アクセス、アカウントの侵害など、あらゆる悪意ある攻撃が含まれます。
脅威への対処が完了したら、インシデントを十分に考察して評価し、そこで得た知見を、攻撃を未然に防ぐためのプロセスや戦略の構築に役立てるなど、その後の対策を検討します。
デジタルフォレンジックツールを使用することで、セキュリティ担当者は潜在的な脅威に対して適切に対応するための対策を講じることができます。高度なツールと技術を使用してデータを収集し、状況を分析し、すばやくインシデントに対応できることが、脅威の発生リスクを抑え、組織の安全を守り抜くための鍵となるのです。