セキュリティの
学び場

デジタル・フォレンジックとは

情報セキュリティ分野において、デジタル・フォレンジックは「情報インシデントに関する情報の保全・回収・分析調査」を意味します。

「フォレンジック」は元々「法医学」や「法的に有効な」といった意味を持ちます。事件の証拠を保全し、それを分析することで事件の真相を解明する・・・というフォレンジックを情報セキュリティにおいて行うことがデジタル・フォレンジックと言えます。

どんな時に必要か？

デジタル・フォレンジックは一般的に「インシデント対応（インシデント・レスポンス）」の一環として行われます。インシデントの例としては「Webサービスコンテンツの改竄」等が挙げられます。

デジタル・フォレンジックではインシデントの証拠が損なわれないよう、証拠を保全するとともに、「本当に改竄だけなのか、情報漏えいの痕跡がないか？」などの影響調査や「どの様にしてインシデントに至ったか」というインシデントに至るまでの時系列と原因の調査を行います。

デジタル・フォレンジックの流れ

デジタル・フォレンジックは大きく分けて以下のような工程で構成されます。

• 収集
• 分析
• 報告
• 回復

「収集」工程では証拠保全を行うとともに、分析対象となるデータを収集します。
証拠保全の代表的な方法として「ディスクの複製」があります。PC端末やサーバのディスクの複製を作り、オリジナルを証拠として保全します。従来はこのように物理的なディスクの受け渡しが主流でしたが、近年はクラウド基盤上でサーバや仮想端末を利用することも多く、セキュリティベンダへのデータ受け渡しもクラウド基盤の仕組で行うことが増えています。

「分析」工程では「分析の目標」を設定し、それに向けて収集データの分析を行います。分析目標は対象環境の情報資産や想定リスクから設定しますが、当事者からの要望に上がりやすい目標として「情報漏えいが無かったか」の確認があります。
実は、「情報漏えいが無かったこと」の証明は一般的に困難である事が知られています。これは『「証拠が見つからない」ことは「無い」ことの証明にならない』ことからも分かります。一方で、情報漏えいの有無が重大な関心事である事は確かであるため、一般的には「情報漏えいの痕跡は確認されなかった」ことを示すことが目標となります。

「報告」工程では分析結果を評価し、報告書にまとめます。報告書のまとめ方には様々ありますが、一般的に含まれる項目として「インシデントの時系列（タイムライン）」と「インシデントの影響評価」があります。「時系列」では「どんな事象」が「いつ」発生したかを明確化します。また、「影響」の評価では「どの様な情報資産」が「どの様な影響」を受けたかを評価します。

「回復」工程では報告の評価結果を受けて、インシデントが発生する状況の復旧と改善を行います。インシデントに対する復旧や改善では「リスクの封じ込め」や「原因となったシステムの脆弱性対応」などのシステムに対する改善がクローズアップされがちですが、これ以外にも「セキュリティ体制の改善」等の組織に対する改善も重要となります。

インシデントに備えて

この記事ではデジタル・フォレンジックの紹介をしましたが、このためには「適切な記録と監視」が非常に重要です。「フォレンジックを依頼されたが適切な情報が記録されていない」ことや「攻撃者により記録が消去されている」ことは往々にしてあります。

このような問題を回避するため、インシデント対応を想定して「ログ（認証ログ 等）」や「メトリクス（通信量など）」を安全に記録・保管することが必要です。

また、インシデント対応では「いち早くインシデントを検知する」事が重要であるため、「記録する」だけでなく、それらを「監視する」仕組と体制が必要となります。監視・分析の仕組としてはSIEMなどがありますが、運用が困難な場合もあるため、SOCやMSS等のサービスを活用してセキュリティ監視・対応の体制を構築することも考えられます。