CYBERNET
 

お役立ち情報

トレンド基礎知識 セキュリティ被害の最小限化に重要な「ファストフォレンジック」

デジタルフォレンジックの4つのステップ

サイバー攻撃によりマルウェアに感染したり、情報漏えい事件が発生した場合、その原因を迅速に究明し、被害を最小限に食い止めることが重要です。原因が不明のままでは再び同じ方法で被害をこうむる危険性があるからです。次のマルウェア感染や情報漏えいを防ぐには、その原因や侵入・漏洩ルートを明確にすることが、必須条件なのです。

そのために行われるのが「デジタルフォレンジック」です。フォレンジック(forensics)とは「法医学的な」「科学捜査の」という意味を持つ言葉であり、犯罪捜査における鑑識や分析のことを指します。それをデジタルの世界で行うのがデジタルフォレンジックです。最近ではデジタルを省略して「フォレンジック」と記載されることも増えています。それだけサイバー攻撃や情報漏えいが、社会にとって大きな問題になっているのだといえるでしょう。

しかし、デジタルフォレンジックを実際に行うのは、そう簡単ではありません。その理由を理解いただくために、まずそのプロセスを簡単におさらいしておきましょう。

デジタルフォレンジックに関しては、2006年8月に米国国立標準技術研究所(NIST)が公開した「Guide to Integrating Forensic Techniques into Incident Response」が参考になります。独立行政法人 情報処理推進機構(IPA)とNRIセキュアテクノロジーズ株式会社(NRIセキュア)による日本語訳もあるので、ぜひ一読されることをお勧めします。そのp3-1にフォレンジックプロセスの全体像が記載されており、以下の4ステップで構成されると説明されています。

  1. 収集
  2. 特定の事象に関連するデータの識別、ラベル付け、記録、および収集を行い、その完全性を保護する。
  3. 検査
  4. 収集されたデータの種類に適したフォレンジックツールやフォレンジック技法を実行することにより、データの完全性を保護しながら、収集されたデータから関連する情報を識別し、抽出する。
  5. 分析
  6. 検査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情報を導き出す。
  7. 報告
  8. 分析結果の「報告」を行う。

※各項目の説明は上記日本語版の文言を引用しています。

ちょっと堅い表現になっていますが、簡単にいってしまえば、(1)証拠保全を行い、(2)その中からインシデントに関連する情報を抜き出して整理し、(3)調査目的に応じた分析を行い、(4)その結果を報告する、ということになります。

ファストフォレンジックなら膨大な準備作業を簡略化可能

それではなぜデジタルフォレンジックは簡単ではないのでしょうか。それは(1)の収集(証拠保全)と検査(情報抽出・整理)に膨大な時間がかかるからです。証拠保全を行うには、インシデントに関係する機器の記録メディア全てを確保し、そこにあるデータをコピーしなければなりません。しかもファイル単位でのコピーではなく、ブロック単位でのコピーが必要です。削除されたファイルに証拠が見つかる可能性もあるため、すでに存在しないファイルの痕跡も確保しておかなければならないからです。もしインシデントの影響範囲が明確でない場合には、社内の全てのPCとサーバーのHDDを確保し、そこからデータをコピーしなければなりません。その作業量が膨大になることは、容易に想像がつくと思います。

さらに、そこからインシデントに関連する情報を抽出して整理するのも大変な作業です。対象となるデータ量が膨大である上、削除されたファイルの復元やレジストリの解析などを行い、それらの情報を時系列で整理した上で、人が読める状態にしていく必要があるからです。ここまで行うことでようやく準備段階が終了し、その後の分析作業を始めることが可能になるのです。

当然ながらこれだけのことを行うには、専門的な知識を持つスタッフと、証拠保全や解析のための専用ツールが必要です。そのため本格的なデジタルフォレンジックは、専門企業に任されることが一般的です。当然ながらそのコストは大きく、証拠保全が終わるまでは業務が停止する、といったことも起こります。

このような問題を解決できるものとして近年注目されているのが「ファストフォレンジック」です。これは文字通り、デジタルフォレンジックを「素早く(fast)」行うことを意味します。その手法は複数存在しますが、そのうちの1つがEDR(Endpoint Detection and Response)を活用したものです。

EDRとは端末における様々な事象の記録(ログ)や、不審挙動の検知、インシデントとみなされた場合のアラートやネットワーク隔離などを行う製品です。つまりあらかじめEDRを導入し適切に運用していれば、すでに「収集」と「検査」はほぼ完了していることになります。しかもインシデントが見つかった場合にはネットワーク隔離も実行できるため、影響範囲の限定も可能です。そのため事前準備に時間をかけることなく、対象を限定した上で、即座にフォレンジックを実施できるのです。

今後は従来型のデジタルフォレンジックに替わり、EDRを活用したファストフォレンジックが主流になっていくでしょう。フォレンジックを迅速に行うためにも、EDRの導入は必須条件だといえるのです。

ファストフォレンジックで利用するEDRで考慮すべきこと

EDRに求められる機能はインシデントの「検知」、「封じ込め」、「調査」、「復旧」の大きく分けて4つです。(詳細はこちらの記事を参照ください)EDRを謳う製品の中には全ての機能を搭載していないものもあるため注意が必要です。また、フォレンジックのカギとなる「収集」では、エンドポイント上のイベントログを保存することになりますが、製品によりこの保存期間が異なります。インシデント発生時の保存期間が長いと、もしもの時にも遡れる日数が多いため、より正確な分析を行うことができます。また、自社でEDRを運用する場合は、操作画面の分かり易さも重要です。特にイベントの動きを直感的に把握するトレース画面も確認しておくとよいでしょう。

サイバネットでは、主要EDR 製品であるCrowdStrike Falcon及びVMware Carbon Blackを取り扱うほか、EDRの自社運用に不安を持たれているお客様には、EDRの運用をアウトソースするMDRサービスもあわせてご提案しています。EDR導入にあたっての製品の比較や運用のご相談を承っています。気軽にご相談ください。