フォレンジックとは?実施する目的や調査のプロセス、2つの注意点を解説!
フォレンジックとは何か気になるけれど、目的は?
フォレンジックは、企業にとって本当に必要な調査なのでしょうか。
今回は、フォレンジック調査の目的やプロセスを解説します。また、実施する際の2つの注意点もまとめました。
これを読めば、フォレンジック調査は必要だと思えて、検討するきっかけになり、インシデントが発生した際に効果的な原因究明が期待できます。
先に結論を言うと、フォレンジック調査は、専門的な知識や技術が必要で調査にも時間がかかるため、事前に専門会社を選定し依頼した方が効率的ですよ。
フォレンジックとは?
フォレンジックとは、犯罪や事件などのインシデントが発生した際に、証拠を収集・分析して事実関係を明らかにする調査方法のことです。
フォレンジックは「法医学」や「鑑識」などと称され、一般的には「法律に科学的手法を適用すること」と定義されています。
また、一般企業においては、サイバー攻撃による内部不正や情報漏洩、データの改ざんなどの原因究明を調査するための調査技術を指します。
フォレンジック調査では、コンピュータやサーバなどのデジタル機器に残された犯罪の記録や痕跡などの物理的な証拠を詳細に調べることで、事件の真相を明らかにするのです。
フォレンジック調査の目的
フォレンジック調査を実施する目的は、サイバー攻撃による内部不正や情報漏洩などのインシデントが発生した際に、原因や経緯などを分析し詳細を把握することです。
調査対象の証跡を把握することで、何を原因にどのような経緯でインシデントが発生したのかが明らかになるため、以下のことに役立ちます。
・サイバー攻撃の原因究明
・内部ポリシー違反の調査
・運営上のトラブルシューティング
・システム障害からの復旧
・サイバー攻撃の未然防止
・セキュリティインシデントの再発防止策の策定
・法的措置や訴訟準備
フォレンジック調査によって、不正行為や情報漏洩などのサイバー攻撃の原因究明ができるため、インシデントの未然防止や再発防止策に繋がります。
フォレンジックの種類
企業で実施されるフォレンジックは、調査対象によって、主に「コンピュータフォレンジック」「ネットワークフォレンジック」「モバイルデバイスフォレンジック」の3種類に分けられます。
では、フォレンジックの種類について、具体的に見ていきましょう。
コンピュータフォレンジック
コンピュータフォレンジックは、記憶媒体や記録された情報について完全な状態で保全し、分析する手法です。
USBメモリやHDDなどのデジタル製品に対する「ディスクフォレンジック」と、電子文書やJPEG画像などに対する「メモリフォレンジック」が調査対象になります。
削除されたデータの復元やログの解析など、デジタル機器に残された電磁的記録を詳細に調査することで全容を明らかにします。
コンピュータフォレンジックは、インシデントが発生した際に原因究明や被害状況の把握、証拠収集などを目的に用いられます。
ネットワークフォレンジック
ネットワークフォレンジックは、ネットワークに流れるデータを収集・解析して、インターネットの接続履歴などを分析し不正の証拠を保全する手法です。
パケットキャプチャと呼ばれる特殊なツールを用いてインターネットの閲覧履歴やネットワークログ、パケットデータを対象に調査します。
ネットワークフォレンジックは、主にサイバー攻撃やサイバー攻撃による情報漏洩など、ネットワークを経由して発生したインシデントの調査に用いられます。
モバイルデバイスフォレンジック
モバイルデバイスフォレンジックは、スマホやタブレットなどのモバイルデバイスに蓄積されたデータを収集・分析し、証拠の保全や削除されたデータの復元を実施する手法です。端末データの他、使用履歴やアクセスログなども対象になります。
具体的に扱う主なデータには、発着信やメールの履歴、位置情報、画像・動画のデータ、アプリの使用履歴などの情報が含まれます。
モバイルデバイスフォレンジックは、業務上の不正行為や内部不正、ハラスメントなどのモバイルデバイスが関与するインシデントの解明に用いられます。
フォレンジック調査の内容
フォレンジック調査の実施内容は、調査対象となるデバイスや環境によって変わります。
フォレンジック調査の主な内容は、以下の通りです。
・削除されたデータやファイルの復元
・ログを解析し、違法行為を割り出す
・侵入した不正プログラムの特定
・Webサイトのアクセス履歴の調査
・タイムラインの作成
・情報漏洩の経路の特定
・攻撃者の絞り込み
・メッセージやメールの復元
これらの調査を組み合わせて実施することで、インシデントの原因を特定し、業務再開や防止策に役立てます。
調査の過程では、証拠の完全性を担保しつつ関連するデータを漏らすことなく収集することが重要であるため、適切なフォレンジック調査を実施しましょう。
フォレンジック調査の基本的なプロセス
フォレンジック調査のプロセスは、目的や対象デバイス、環境によって異なりますが、基本的には「証拠保全」「データ解析」「情報の抽出」「調査結果の報告」のフェーズで実施されます。
では、フォレンジック調査の基本的なプロセスについて、具体的に見ていきましょう。
証拠保全
インシデントが発生した際、まず初めにやらなければならないことは、証拠保全です。
当該端末の確保・データの取り出し・証拠保全のためのデータコピーなどをして、必要な情報を収集します。
また、消失する可能性のある動的なデータもあるため、適切なタイミングで計画を立てて実施しなければなりません。
データの完全性を担保しつつ、関連するデータを識別したり、ラベル付けをしたりして記録し、ソース候補から取得しましょう。
データ解析
証拠保全したデータから、「いつ・どこで・誰が・何を・どうしたのか」を解析します。
データ解析は、以下のような様々なデータに対して実施します。
・ファイルの作成
・データの保存履歴
・メールの送受信履歴
・インターネットの使用履歴
・アプリやプログラムのインストール履歴
・サーバ上に保存されたログ
証拠となり得る情報を見つけ出すために保全したデータをはじめ、その他の関連するネットワーク機器の中にあるログなどの情報から、データ解析を行いましょう。
必要な情報の抽出
収集・解析した膨大なデータから、インシデントが発生した原因に関する必要な情報を抽出します。
データの完全性を損なわないように保護しながら、自動もしくは手動あるいはそれらの組み合わせによってデータを見定め、抽出します。
また、削除された形跡が見られるデータに関してはできる限り復元し、その後、不正行為や隠蔽などに関連する情報を抽出します。
取り出した多くの情報を詳細に調べ、調査に関連する情報を抽出し、インシデントの原因を特定・検証しましょう。
調査結果の報告
原因が特定できたら調査結果を元に報告書を作成します。
記載すべき内容としては、対応に向けたツールや手段の決定方法・フォレンジックプロセスのガイドライン・フォレンジックで利用するツール・その他改善すべき事項などが挙げられます。
また、報告書は法廷などでの証拠資料として使用できる他、責任の所在を明らかにするための用途や再発防止策を策定するための参考資料として使用することが可能です。
報告書には、調査から判明した事実だけでなく、それらから導き出せるトラブルの全体像や要点を整理してまとめましょう。
フォレンジック調査を実施する際の注意点
フォレンジック調査を実施する際の注意点は、主に以下の2つです。
・調査に時間がかかる
・社内で調査しない
フォレンジック調査は、調査に時間がかかったり、専門技術がないと証拠保全ができなかったりします。では、それぞれの注意点について、具体的に見ていきましょう。
調査に時間がかかる
フォレンジック調査を実施する際の注意点1つ目は、フォレンジック調査には準備や時間がかかることです。
なぜなら、膨大なデータを詳細に分析する必要があるからです。
特に、システムが複雑なケースや大規模なシステムが対象となる場合には、準備から調査まで数ヶ月を要するケースも少なくありません。
デジタルデータが急速に増加している昨今では、担当者の負担が大きいため、時間短縮に特化した「ファスト・フォレンジック」を導入し、時間と負担を減らすことも視野に入れましょう。
社内で調査しない
フォレンジック調査を実施する際の注意点2つ目は、社内でフォレンジック調査をしないことです。
なぜなら、適切な証拠保全ができなかったり、公平性や客観性を担保できなかったりして、調査結果の信頼性が損なわれる可能性があるからです。
したがって、フォレンジック調査の専門知識や技術ノウハウがない場合は、自社で調査せず、専門の調査会社に依頼しなければなりません。
そのため、インシデント発生時にすぐフォレンジック調査を実施できるよう、事前に調査会社を選定しておきましょう。
フォレンジック調査の費用相場
フォレンジック調査の費用は、調査内容・実施する目的・インシデントの種類・対象機器の台数などによって異なります。
なぜなら、フォレンジック調査には、専門知識や技術のノウハウが求められるからです。
フォレンジック調査は、専門の調査会社に依頼することが一般的ですが、機器1台につき、数十万円〜数百万円程度かかるケースも珍しくはありません。
また、フォレンジック調査は、長期間の調査になりがちであるため、調査結果の公表日や業務停止期間など、何らかの期限が決められている場合は、早めに調査会社に依頼するようにしましょう。
まとめ
今回は、フォレンジック調査を実施する目的や調査のプロセス、実施する際の注意点を解説しました。
フォレンジック調査は、サイバー攻撃による不正アクセスや情報漏洩などのインシデントが発生した際、その原因や経緯などを分析・解析し詳細を把握することを目的に実施します。
フォレンジック調査は、サイバー攻撃などのインシデントが発生した際に原因を明らかにし特定することが可能です。インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。
NEW
-
フィッシング詐欺にあったらどうする?すぐに取るべき対処法6選を解説!
2025/02/10 -
フィッシング詐欺に引っかかった時にクレジットカード情報が漏洩!対策5選を紹介。
2025/02/10 -
フィッシング詐欺を未然に防ぐ対策6選!被害に遭った際の対処法も解説。
2025/01/30