情報漏えいによる個人情報、機密情報の流出の事件は後を断ちません。「サイバーセキュリティ.COM」によると2020年だけでも大規模な個人情報やクレジットカード情報が流出した可能性がある事例が多くあります。
●株式会社現代ギター社/顧客情報:1万9,328件 クレジットカード情報:133件(不正アクセス)
●株式会社ペットハグ/クレジットカード情報4,098件(偽の決済フォームの設置)
●千葉県富津市/個人情報1万795件(USBメモリ紛失)
●三菱電機株式会社/個人情報:8,122件(不正アクセス)
●株式会社リゾートトラスト/宿泊実績情報2万7,763件(メールの誤送信)
●LINE株式会社/4,000件超 (不正ログイン)
●株式会社ホビーズファクトリー/6万3,587件(不正アクセス)
●JR東日本/3,729件(不正アクセス)
ヒューマンエラーが原因となるケースと外部による不正アクセスが多いですが、万が一このような事態が起きたとき、被害の範囲を特定し、素早いステークホルダーへの周知、原因の究明が求められます。
今回は、情報漏えいやサイバー犯罪があったときに必要となるデジタルフォレンジック、フォレンジック調査について解説します。
フォレンジックとは? ますます必要となるセキュリティ対策
デジタルフォレンジック、コンピューターフォレンジックなどにある「フォレンジック(Forensics)」は、日本語で「法定の〜」「法医学の〜」という意味になります。
つまりデジタルフォレンジックとは、コンピューターなどのデジタル記録媒体に残された法的な証拠となるデータの収集や分析・解析をおこなうことを指します。法科学(フォレンジック・サイエンス)の一分野に位置づけられています。
サイバー攻撃による不正アクセスや情報漏えいなどのIT関連犯罪では、パソコンのHDDや携帯電話などから消去されたデータを復元したり、ログから解析して証拠を発見したり、犯人に辿り着くと言ったストーリーはテレビドラマや映画でもよく観られます。
現在では、サイバー犯罪だけではなくコンピューター〜ネットワーク上で何かしらのトラブルが発生した際に、原因を特定するための検証作業のことをフォレンジック調査と呼びます。
フォレンジック調査の必要性
2000年以降、パソコンやインターネットの技術が確立されると、企業への不正アクセスなどの犯罪や国家間によるサイバー戦争やサイバーテロなどのリスクが高まってきました。そのため2004年には国際条約「サイバー犯罪条約」が発効され、2019年3月時点では締約国は63カ国となっています。
加えて、2010年以降はスマートフォンの普及や通信技術の発展により、サイバー攻撃や不正アクセスは大企業や国家だけの問題ではなくなってきました。パソコンやスマートフォンだけではなく、タブレットやIoT時代では多くのモノがインターネットとつながることになります。調査会社IDCによると、世界のデータ通信量は、2017年の23ゼタバイト(1ゼタバイト=10億テラバイト)から2025年には175ゼタバイトまで増加すると予測しています。その分だけ情報漏えいのリスクも高まりますし、事業のデータはSFA、CRMやERPなど基幹システムでデータ化して保存するのが主流となっており、外部からの攻撃の他、内部の人間による持ち出しによる情報漏えいのリスクも考慮しなくてはいけません。そのため、デジタルフォレンジックの重要度は近年高まっており、一般企業も万が一の対応に向け、デジタルフォレンジック、フォレンジック調査について検討しておく必要があります。
<参考:「The Digitization of the World from Edge to Core」>
フォレンジック調査の種類と手順
デジタルフォレンジックの調査は、端末やネットワークを調査するため、その調査方法を大きく3つに分けることができます。
コンピューターフォレンジック
パソコンのHDDやSSDなどコンピューター上に保存された情報を解析することです。コンピューター上でおこなわれた操作を分析・解析するだけではなく、削除されたデータの復元もおこないます。
モバイルデバイスフォレンジック
その名のとおり、スマートフォンやタブレットなどのモバイルデバイスに保存された情報を解析します。コンピューターフォレンジックのモバイルデバイス版とも言えますが、通話履歴やアプリの使用履歴なども解析します。
ネットワークフォレンジック
ネットワーク上のパケットを解析します。不正アクセスや情報漏えいでは、パケットがどのネットワークを通ったかの経路を分析することで、犯人を辿ることが可能になります。現在注目を集めているEDRツールでは、怪しい挙動を検知できるため、フォレンジックにも応用が可能です。
◎「EDR」とは? エンドポイントセキュリティの重要性とともに解説
フォレンジック調査が必要になるケースと手順
フォレンジック調査が必要となるケースは、以下が考えられます。
・内部の人間による機密情報・個人情報の不正な持ち出し
・クラウドサービス利用による情報漏えい
・外部によるサイバー攻撃、ウィルス感染などのインシデント
このようなケースが起きないようにすること、万が一起きても水際で被害を防止することがセキュリティ対策では求められています。しかし、実際に情報漏えいなどが起きた場合は下記の手順でフォレンジック調査を進めることになります。
①事前準備・体制構築……フォレンジック調査が必要となる事前に、迅速かつ正確な初動がとれるように体制を構築しておく必要があります。
②証拠保全……まずデータの保全が必要となります。インシデント発生時の状況を正確に把握します。
③データの復元・復号……証拠となるデータは基本的には隠蔽されたり、削除されます。必要に応じて、データを復元・復号します。
④データの解析・分析……保全データや復元データを解析・分析して、原因究明を進めます。
⑤報告……解析・分析の結果を報告します
フォレンジック調査の課題とファスト・フォレンジック
フォレンジック調査の必要性は増していますが、まだまだ課題は存在します。例えば、BYODなど私物端末を利用しているなど個人情報に絡む情報漏えいのケースでは、従業員に対するモニタリング調査は、個人情報保護法の観点からプライバシー侵害にあたる可能性があります。このため、BYODポリシーやBYOD同意書などルールを策定する必要があります。
◎BYODとは? 企業が知っておくべきメリット・デメリット、セキュリティ対策やガイドラインを解説
もうひとつはストレージの大容量化やエンドポイントとなる端末台数の飛躍的な増加です。フォレンジック調査ではスピードが重要なので大きな課題は時間の短縮になります。ストレージやハードディクスの大容量化は、物理的に保全にかかる時間を増大させます。そこで注目されているのが、「ファスト・フォレンジック」です。ファスト・フォレンジックは、必要最低限のデータを抽出、コピーして解析をするため、迅速な初動対応が可能になります。
よりデジタルシフトした現在は、防御、水際対策の他、フォレンジック調査の初動や体制構築も重要になります。デジタルテクノロジーの発展と普及によってビジネスは便利になりますが、その分だけセキュリティ対策にも注力していかなくてはいけません。セキュリティポリシーも刷新が必要となるでしょう。
今回は、デジタル時代に避けては通れないフォレンジック調査について解説しました。
