インシデント被害を最小限に抑える上で今後重要になる「ファストフォレンジック」
4つのステップで構成されるデジタルフォレンジック
サイバー攻撃によってマルウェアに感染したり、情報漏えい事件が発生した場合は、その原因をできる限り迅速に究明し、被害を最小限に食い止めることが重要です。原因が不明のままでは再び同じ方法で被害をこうむる危険性があるからです。次のマルウェア感染や情報漏えいを防ぐには、その原因や侵入・漏洩ルートを明確にすることが、必須条件なのです。
そのために行われるのが「デジタルフォレンジック」です。フォレンジック(forensics)とは「法医学的な」「科学捜査の」という意味を持つ言葉であり、犯罪捜査における鑑識や分析のことを指します。それをデジタルの世界で行うのがデジタルフォレンジックです。最近ではデジタルを省略して「フォレンジック」と記載されることも増えています。それだけサイバー攻撃や情報漏えいが、社会にとって大きな問題になっているのだといえるでしょう。
しかし、デジタルフォレンジックを実際に行うのは、そう簡単ではありません。その理由を理解いただくために、まずそのプロセスを簡単におさらいしておきましょう。
デジタルフォレンジックに関しては、2006年8月に米国国立標準技術研究所(NIST)が公開した「Guide to Integrating Forensic Techniques into Incident Response」が参考になります。独立行政法人 情報処理推進機構(IPA)とNRIセキュアテクノロジーズ株式会社(NRIセキュア)による日本語訳もあるので、ぜひ一読されることをお勧めします。そのp3-1にフォレンジックプロセスの全体像が記載されており、以下の4ステップで構成されると説明されています。
- 収集
特定の事象に関連するデータの識別、ラベル付け、記録、および収集を行い、その完全性を保護する。 -
検査
収集されたデータの種類に適したフォレンジックツールやフォレンジック技法を実行することにより、データの完全性を保護しながら、収集されたデータから関連する情報を識別し、抽出する。 -
分析
検査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情報を導き出す。 -
報告
分析結果の「報告」を行う。
※各項目の説明は上記日本語版の文言を引用しています。
ちょっと堅い表現になっていますが、簡単に言ってしまえば、(1)証拠保全を行い、(2)その中からインシデントに関連する情報を抜き出して整理し、(3)調査目的に応じた分析を行い、(4)その結果を報告する、ということになります。
4つのステップで構成されるデジタルフォレンジック
それではなぜデジタルフォレンジックは簡単ではないのでしょうか。それは(1)の収集(証拠保全)と検査(情報抽出・整理)に、膨大な時間がかかるからです。証拠保全を行うには、インシデントに関係する機器の記録メディア全てを確保し、そこにあるデータをコピーしなければなりません。しかもファイル単位でのコピーではなく、ブロック単位でのコピーが必要です。削除されたファイルに証拠が見つかる可能性もあるため、すでに存在しないファイルの痕跡も確保しておかなければならないからです。もしインシデントの影響範囲が明確でない場合には、社内の全てのPCとサーバーのHDDを確保し、そこからデータをコピーしなければなりません。その作業量が膨大になることは、容易に想像がつくと思います。
さらに、そこからインシデントに関連する情報を抽出して整理するのも、大変な作業です。対象となるデータ量が膨大である上、削除されたファイルの復元やレジストリの解析などを行い、それらの情報を時系列で整理した上で、人が読める状態にしていく必要があるからです。ここまで行うことでようやく準備段階が終了し、その後の分析作業を始めることが可能になるのです。
当然ながらこれだけのことを行うには、専門的な知識を持つスタッフと、証拠保全や解析のための専用ツールが必要です。そのため本格的なデジタルフォレンジックは、専門企業に任されることが一般的です。当然ながらそのコストは大きく、証拠保全が終わるまでは業務が停止する、といったことも起こります。
このような問題を解決できるものとして近年注目されているのが「ファストフォレンジック」です。これは文字通り、デジタルフォレンジックを「素早く(fast)」行うことを意味します。その手法は複数存在しますが、そのうちの1つがEDR(Endpoint Detection and Response)を活用したものです。
EDRとは端末における様々な事象の記録(ログ)や、不審挙動の検知、インシデントとみなされた場合のアラートやネットワーク隔離などを行う製品です。つまりあらかじめEDRを導入し適切に運用していれば、すでに「収集」と「検査」はほぼ完了していることになります。しかもインシデントが見つかった場合にはネットワーク隔離も実行できるため、影響範囲の限定も可能です。そのため事前準備に時間をかけることなく、対象を限定した上で、即座にフォレンジックを実施できるのです。
今後は従来型のデジタルフォレンジックに替わり、EDRを活用したファストフォレンジックが主流になっていくでしょう。フォレンジックを迅速に行うためにも、EDRの導入は必須条件だといえるのです。
フォレンジックにお勧めのEDR製品とは
そこで数あるEDR製品の中でお勧めしたいのが「VMware Carbon Black」です。EDRに求められる機能は大きく分けて4つ、インシデントの「検知」、「封じ込め」、「調査」、「復旧」です。(詳細はこちらの記事を参照ください)EDRを謳う製品の中には全ての機能を搭載していないものもありますが、VMware Carbon Blackはこれら全てを搭載しています。
また、フォレンジックのカギとなる「収集」では、エンドポイント上のイベントログを独自クラウド基板上にリアルタイムで送付し、通常は30日、インシデント発生時は180日間保存するため、もしもの時にも遡れる日数が多く、より正確な分析を行うことができます。また、イベントの動きを直感的に把握できるトレース画面もお客様に高く評価いたただいています。
トレース画面
VMware Carbon BlackはEDRだけではなく、既知・未知の攻撃を検知・防御する次世代アンチウイルス機能も搭載しています。インシデント発生を未然に防ぐことができれば、ファストフォレンジックの必要もありません。そういった点からも防御の強化も合わせて考えておきたいところです。このような点でもVMware Carbon Blackはシグネチャに依存せず、エンドポイント上で発生するイベントの連続性から怪しい動きを判定する独自のイベントストリーミング解析技術により未知の脅威に対しても高い精度で防御することができます。
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別