【フォレンジックとは】セキュリティ担当者必見! 意味や調査方法を解説
個人情報保護の意識が高まり、デジタルリスクにいかに対処するかが以前にも増して企業の課題となる中、フォレンジックという言葉に注目が集まっています。かつては一部のセキュリティ関係者にて使われる専門用語でしたが、いまでは企業のセキュリティ担当者や情シス担当者にも浸透しはじめています。
そこで今回は、フォレンジックの意味やその調査方法について解説します。
フォレンジックとは?
そもそも、フォレンジックとは一体何なのでしょうか。その言葉の意味から見てみましょう。
元々の意味
フォレンジック(forensic)とは「法廷の」「法医学の」などといった意味を持つ単語です。もともとは、犯罪調査において法的証拠を見つけるための鑑識調査や、情報解析における技術、手順のことを指す言葉として使われていました。
IT業界での意味
IT業界におけるフォレンジックという言葉は、パソコンやスマートフォンなどの端末やサーバー、デジタル家電など、電子機器内のデータから法的証拠や手がかりを見つけ出す取り組みの総称として使われます。削除されたデータを復元したりサーバーのログを解析するなどによって犯罪にまつわる通信記録を割り出したりするだけでなく、調査前に破壊・改ざんされないようデータの保全を行うこともフォレンジック技術に含まれます。
【関連記事】「情報セキュリティマネジメント試験とは?難易度や資格をとるメリットを紹介」
フォレンジック調査とは
フォレンジック調査は、犯罪の証拠となるメールやファイルを特定したり、サーバーログから不正アクセスの記録を見つけ出したりすることによってインシデントを解明する調査です。
フォレンジック調査の必要性・重要性
2010年以降のスマートフォンの急速な普及や通信技術の発展により、世界のデータ通信量は2017年に23ゼタバイト(1ゼタバイト=10億テラバイト)に達し、さらに今後IoTが普及することにより、2025年には175ゼタバイトまで増加すると予測されています。
通信量が増加すれば情報漏えいのリスクも高まるため、外部からのサイバー攻撃や内部からの情報の持ち出しなどさまざまな場面を想定する必要があります。フォレンジック調査によって得られた証拠は責任の所在や損害賠償の金額に関わる重要な証拠となるため、一般企業においても万が一の対応に備えてフォレンジック調査導入の必要性・重要性が年々高まっています。
フォレンジックの内製化はむずかしい?
フォレンジックを企業にて内製化することはむずかしいといわれていますが、なぜなのでしょうか。その背景について見てみましょう。
セキュリティに関する知識は必須
フォレンジックは、万が一情報セキュリティインシデントが発生した際に情報を保護し被害を最小限に防ぐものです。そのため、コンピュータやネットワークにおけるセキュリティを脅かす攻撃手段や、それらのサイバー攻撃に対抗するための防御方法・対処方法に関する知識を有していることは、フォレンジック担当者としては必須かつ大前提となります。
法律の知識も必要となる
フォレンジックでは法律の知識も必要となります。フォレンジック調査は残された情報を法的証拠として利用するものであり、そのためにデジタルデータを保全し法的手続きを行う必要があるからです。
しかし、セキュリティ知識だけでなく法律の知識まで身につけるのは一朝一夕で成せることではありません。このこともフォレンジックの内製化がむずかしいとされる要因の一つとなっています。
内製化することのメリット
しかし、フォレンジックを内製化することができれば内部不正の防止になるというメリットがあります。企業などにおける情報漏えい事件はたびたび報道されますが、サイバー攻撃など外部要因によって起こるものは全体の2割にも満たないといわれています。実は過半数を占めるのがメールの誤送信や管理ミス、内部犯行など、企業内に原因があるのです。
フォレンジックを内製化し監視体制が整っていることが社内に浸透すれば、内部不正やミスが起こりづらくなると考えられます。フォレンジック内製化のハードルは高いですが、その分大きなメリットも見込めるのです。
フォレンジックの手順
次に、実際のフォレンジックの手順についてステップ毎に解説します。
収集
まずはデータが残されている端末やメディアを収集し、紛失や取り違いがないよう、然るべき手順によって保全します。
フォレンジックでは、データやログだけでなくコンピュータや記録媒体などのハードウェアそのものが調査対象となります。収集したハードウェアから内部にあるデータを完全コピーし、さらに改ざんや破棄などが起こらないよう専用の機器によって保全します。
解析
コピーされたデータはそのままの状態では判別や解釈をすることはできません。そのデータを解析する必要があります。ファイル作成・更新日時などのタイムスタンプやレジストリ解析等によるプロセス実行時刻の洗い出し、削除されたファイルの復元などの作業を経てメディアがデータ化されて初めて、人が読み解くことができるようになるのです。
分析
データ化された情報をさらに分析し、その調査目的に応じて必要な部分を探し出します。対象となる情報が抽出できたら、次に法的証拠として成立するかの判断もおこないます。この作業はほぼ人力でおこなわれるため、高度な専門知識が必要となります。
報告
分析で得られた情報をもとに調査結果をまとめ、報告します。多くの場合、分析で得られる情報は断片的であるため、それらをつなぎあわせ補完・解釈を加えたうえで報告としてまとめます。事象の全容やポイントを簡潔に整理し読み手にとって理解しやすい報告書を作るためには、フォレンジッカーとして総合的なスキルを身につけておくことが必要となります。
まとめ
内部不正や人的ミス、外部からのサイバー攻撃などによる情報漏えい事件は後を絶ちません。そのため、どの企業においても事前・事後における対策が必須となっています。
その手段として主流となっているフォレンジック調査。内製化できることが理想ですが、内製化しないまでも、セキュリティ担当者・情シス担当者であればある程度の知識を身につけておくべきでしょう。
本記事を参考に、ぜひフォレンジックについての理解を深め、デジタルリスクへの強固な備えに向けた準備を始めてみてはいかがでしょうか。
編集部オススメコンテンツ
アンドエンジニアへの取材依頼、情報提供などはこちらから
