今回は、実際にどういった順番でフォレンジックを実際に行っていけばよいのか?という、フォレンジックの手順について解説していきます。

忘れてはならないことは、この手順を実行することによって何を達成できるかということです。最初にそれを確認しておきましょう。

まず必要なことは、調査目的の達成です。内部不正のようなセキュリティインシデントが発生した場合に、誰が、どのようなデータを、どうやって持ち出したか?といったような目的が必ずフォレンジックを行う上では存在します。その目的を達成するために手順を実施するということになります。

それから、証拠性を確保することも非常に大事なポイントになります。フォレンジックは、最終的には法廷の場で証拠として通用するように、適切なプロセスで透明性を持って行うことが必要です。そのため、この手順を遵守することでそれが守られるようになります。

手順の定義

フォレンジックの手順についての定義はいくつか存在しています。ここでは、NIST(National Institute of Standards and Technology):アメリカ国立標準技術研究所の定義に基づいて解説していきましょう。

NISTでは、「データの収集」→「検査」→「分析」→「報告」という4つのプロセスを通じてフォレンジックの手順を定義しています。

なお、デジタル・フォレンジック研究会という機関がありますが、そちらでもこのNISTの定義に準拠した手順を用いていますので、最も一般的に広く利用されている定義であると考えて問題ないと思われます。

事前準備

さて、実際の手順に入っていく前に行っておくべきことがいくつかあります。ここではまずそれを確認しておきまししょう。

ここで必要なことは、普段からの準備です。フォレンジックを有効に行うためには様々な情報が必要です。意図せずにコンピューターに残される痕跡も重要な証拠となります(これをアーティーファクトといいます)が、サーバーなどのコンピューターや各種のネットワーク機器において動作の記録であるログを残すようにしてあることが事前準備において最も重要な事項です。

また、大規模な組織では、ログを出力する機器が多数に上り、それを分析するためのシステムとしてSIEMと呼ばれる機器を導入しているケースもあります。SIEMは、こういったログを一元的に管理して、相関分析と呼ばれる、さまざまな要素を加味した分析を実現するためのツールです。

こういったツールを用意しておくことは、フォレンジックを行う上で強力な武器となります。可能であれば日頃から導入の要否を検討しておくのがよいでしょう。

また、実際にインシデントが起きてしまった場合は、どのようにインシデントに対応していくかの指針が必要です。これがないと有事に適切な判断や対応を行うことは極めて難しくなります。また、その指針を実現するための耐性の確保も重要な準備事項です。動ける人員がいなければ、せっかく定めた指針や手順も実現することができません。こちらも調整や予算の確保などを行っておきましょう。

さらには、不正行為を行ったと想定されるPCの押収もこの段階に含まれます。

フォレンジックを行う担当者の準備としても、データが残っているハードディスクから解析用のハードディスクにデータをコピーしますが、解析用のハードディスクは、データが混在などの汚染を避けるために、専用の機器を用いて完全消去しておくことが必要です。

(1)データの収集

この段階では、インシデントが発生した際に、操作されたPCやスマートフォンといった情報機器から、必要な調査を行うためにデータを集めます。

冒頭に記したように、フォレンジックでは証拠性の確保が目的になりますので、第三者とくに不正を行った者が証拠の隠滅のためにデータを削除したり、都合の良いように改ざんすることが無いように、厳格な注意を払わなくてはなりません。

ここでは、ハードディスクの物理コピーもしくは論理コピーを行うなどして、データを収集することになります。

フォレンジック-物理コピーと論理コピーの違い フォレンジックの世界では、物理的なコピーと論理的なコピーの違いを理解することは非常に重要です。どちらも不揮発性情報であるハードディスク...

また、元のデータが格納されているハードディスクとコピーした解析用のハードディスクのデータが完全に一致していることを確認するために両者のハッシュ値を取得して、比較することもこのプロセスに含まれます。両方の機器で得た値が一致していることが確認できれば、正しくデータ収集ができている、という事を意味します。これは証拠性の確保のためには非常に重要な作業です。

(2)データの検査

このステップは少しイメージしづらいかもしれませんが、データの復元と言い換えても構いません。収集したデータが暗号化されていた場合にデータを復号したり、意図的あるいは誤って削除されたデータを復元したりするプロセスになります。

この段階では、各種のフォレンジック用のツールを用いて行うことが一般的です。

(3)データの分析

復元まで完了したデータに対して、証拠となる情報を見つけ出すために分析を行います。ここで法的に認められる方法を用いることが求められます。

(4)報告

フォレンジック調査を行った結果を依頼者に報告します。報告は報告書の形で提出します。報告書の内容は、客観的で理解しやすいことや、公平に書かれたものであること、書かれている内容が真正であることが必要です。

法廷の場においては、この報告書の内容が重要になってきます。

フォレンジック