なんとなくわかる「デジタルフォレンジックス」

スポンサーリンク

デジタルフォレンジックスとは

デジタルフォレンジックス(Digital forensics)とは、不正アクセスサイバー攻撃によって発生するセキュリティインシデントについて法的措置を取るためにパソコンやLANなどの電子機器に残っているログだけでなく保存されているデータなどを収集・分析して原因解明を行うことです。

フォレンジックとは、直訳すると「法廷の」という意味を持ち法的に使うことができる証拠を収集・分析することを指すためデジタルフォレンジックスはパソコンやスマホなどの電子機器での証拠の収集を指します。

デジタルフォレンジックスの手順

日本においてはIPAが監修、公表している「インシデント対応へのフォレンジック技法の統合に関するガイド」によれば、フォレンジックのプロセスは、収集・検査・分析・報告の4つのフェーズから成立しています。

全てのフェーズに一貫して重要とされるのは証拠となりうる情報が含まれる電子機器のデータの完全生を保つことである。完全性とはデータが全て揃っていて欠損や不整合がないことを保証することを意味し、この場合においては電子機器のデータが変わってしまうと証拠として使えなくなってしまうため完全性を崩してはならない。

収集

セキュリティインシデントに関連するデータを識別して記録し、ソースの候補からデータを取得します。電源のオンオフやネットワーク接続によって動的に変化するデータがあるため収集は適切なタイミングで行う必要があります。

データソースとして数多くのソースが存在し、以下のものが挙げられます。

  • パソコン・・デスクトップ、ノートPC
  • サーバ
  • 内蔵ドライブ・・CD、DVD
  • 外部記憶・・USB、SDカード、光ディスク、磁気ディスク
  • 揮発性データ・・RAM
  • デジタル機器・・スマホ、カメラ、レコーダなど

検査

収集したデータを自動的手法および手動的手法の組み合わせを使って処理することで注目に値するデータを抽出する。

収集したデータはほとんど以下のどれかに当てはまるため、インシデントに関係のあるデータのみを抽出します。

  • データ圧縮、暗号化などデータやコードの判読を困難にしている
  • HDDなど大容量のデータが含まれており、全てを調査するにはコストがかかる。
  • フィルタ処理を必要とする無関係な情報が多く存在している
  • ファイル圧縮やアクセス制御によって情報が隠蔽されているもの

分析

法的に正当と認められる手法および技法を使用して検査結果を分析することにより、収集と検査を行う理由となった疑問を解決するのに役立つ情報を導き出す。

報告

これまでの3つのフェーズから明らかになった結果を報告する。これには、使用された措置の記述、ツールや手続きの選択方法の説明、これから実行する必要がある措置(追加のデータソースのフォレンジック検査、識別された脆弱性の安全対策、既存のセキュリティ管理策の改善など)の特定などが含まれます。

コメント

  1. […] アカウンティングによりユーザのログを管理することで不正な操作が行われた時の証拠(デジタルフォレンジックス)になったり、たくさんのデータを収集することでさらなるシステムの改良の手助けになる。 […]

タイトルとURLをコピーしました