はじめに

私たちの生活や仕事のあらゆる場面にITと関わりがあり、メールやチャット、ファイル共有にクラウドサービスなど、あらゆる行動がデジタル上に記録される時代となっています。

こうした背景から「サイバー攻撃」や「情報漏えい」あるいは「内部不正」といった事件が発生した時、内容を明らかにするための調査が重要になってきています。

その調査方法の1つとして、最近ではニュースや報道で取り上げられる機会が増えた「デジタルフォレンジック」です。元々は昔から行われていた技術ですが、ITが発展した現代においてデジタルな証拠を扱う現代の捜査術として、企業や組織などで広く使われるようになりました。

本記事では、このデジタルフォレンジックとは何か、その主な種類や手法、さらに実際にどのような場面で使われるのか、できるだけわかりやすく紹介します。

INDEX

はじめに

デジタルフォレンジックとは？
┗デジタルフォレンジックが活用される例

フォレンジックの種類
┗目的に応じたフォレンジック
　・ファストフォレンジック（Fast Forensics）
　・ディープフォレンジック（Deep Forensics）
┗機器の状態に応じたフォレンジック
　・ライブフォレンジック（Live Forensics）
　・デッドボックスフォレンジック（Dead Box Forensics）
┗複数の手法が組み合わされるケース
　・ファストフォレンジック × ディープフォレンジック
　・ファストフォレンジック × ライブフォレンジック
　・ディープフォレンジック × デッドボックスフォレンジック

まとめ

デジタルフォレンジック（Digital Forensics）とは？

「デジタルフォレンジック（Digital Forensics）」とは、PCやスマートフォン、サーバー、ネットワーク機器などのデジタル機器に残された記録やデータを調査・分析する技術のことです。本来「フォレンジック（Forensic）」という言葉は「法廷で使用できる証拠」という意味を持っています。そのため、デジタルフォレンジックの目的は、調査結果を法的な証拠として通用させるために、正確かつ客観的に記録を扱うことにあります。

デジタルフォレンジックが活用される例

「デジタルフォレンジック」という言葉を聞くと、警察や専門機関だけが使うようなイメージがあるかもしれませんが、今では企業の情報セキュリティ対策や社内調査でも広く使われています。
近年では社内IT担当者や管理職の方でも「どのような調査ができるのか」「どのように証拠を扱えば良いのか」を知っておく必要が出てきています。そうすることでイラストのようなインシデントが起きた際に素早く対処ができるでしょう。

フォレンジックの種類

デジタルフォレンジックにも、全ての調査が同じ方法で行われるわけではなく、調査の目的や機器の状態によって、手法やアプローチが異なります。

ここでは、「目的に応じたフォレンジック」「機器の状態に応じたフォレンジック」の2分類に分けて４つのフォレンジック手法を紹介します。

目的に応じたフォレンジック

ファストフォレンジック（Fast Forensics）

ファストフォレンジックは、短時間で大まかな状況を把握するための調査です。
緊急性の高いインシデント（進行中の不正アクセス、ウイルス感染）の初期対応として、行われます。

特徴	すばやく状況を把握し、初動対応（隔離・遮断）を迅速に判断できる 深い解析や法的証拠としては不十分となる場合がある 解析に掛かる時間は、当日から1週間程度で完了する
事例	従業員のPCでウイルス感染が疑われたとき 業務時間外にも関わらず不正なログインが検出されたとき 複数の端末で突然ファイルが消えた、書き換えられたという報告が上がったとき

ディープフォレンジック（Deep Forensics）

ディープフォレンジックは、詳細かつ法的な証拠にも耐えうるレベルで行う調査です。
企業内部の不正や、重大なセキュリティインシデントの後に行われます。

特徴	正確な証拠の取得と事実の再現性ある分析を行う 証拠保全や報告書作成など法的対応まで視野に入れた対応が行われる 解析に掛かる時間として数週間ほど掛かる可能性もある ファストフォレンジックの後に実施されることがある
事例	退職した社員が機密資料を社外に持ち出した疑いがあるとき サーバーが不正アクセスを受けて、改ざんやバックドアの設置が疑われるとき 法的処置を見据えて、証拠としてデータの収集や保存をする必要があるとき

機器の状態に応じたフォレンジック

ライブフォレンジック (Live Forensics)

ライブフォレンジックは、稼働中のシステムからリアルタイムに証拠を取得する手法です。
電源が入って動作している状態のシステムから情報を取得する方法となっており、サーバーやPCの電源を切る際に重要な情報が失われるリスクがある時に使われます。

特徴	メモリ内の情報、ネットワーク接続状況、実行中プロセスなどが対象になる 消えてしまう情報を逃さないことが重要になる 電源を落とす前に慎重な対応が求められる
事例	サーバー上で不審なプロセスが実行中で、今まさに被害が起きている可能性があるとき ウイルス感染が疑われるが、電源を切ると重要なデータが消えてしまう恐れがあるとき ランサムウェア攻撃を受けてシステムが暗号化される直前（または最中）であるとき

デッドボックスフォレンジック (Dead Box Forensics)

デッドボックスフォレンジックは、電源が切れた状態の機器から証拠を取得する手法です。電源が切れた状態のPCやストレージを対象に調査を行う手法となっており、最も基本的で広く行われています。

特徴	対象ディスクのコピーを作成してから調査を行う データの整合性を確認し、証拠となるデータを収集していく 一般的な内部不正に関する調査はこの手法が多く用いられる
事例	退職者や関係者が使用していたPCの調査を行いたいとき 部通報などにより、特定の社員に不正行為の疑いが持ち上がったとき 外部から持ち込まれた不審なストレージの中身を調べるとき

複数の手法が組み合わされるケース

ここまで紹介してきた４つの手法は、実際のインシデント対応では、状況に応じて複数の手法を組み合わせて使うことが一般的です。その中でも、よく使われる組み合わせをいくつか紹介します。

ファストフォレンジック × ディープフォレンジック

初動では「ファストフォレンジック」で迅速に状況を把握し、被害の拡大を防ぐ対応を実施。その後、「ディープフォレンジック」で詳細な調査を進め、証拠性の高いデータの取得や、事実関係の精密な分析を行います。初期対応から本格調査への自然な移行が可能です。

ファストフォレンジック × ライブフォレンジック

進行中の攻撃に対しては、稼働中システムのメモリやネットワーク情報を「ライブフォレンジック」で採取しつつ、同時に「ファストフォレンジック」で全体像を短時間で把握し、隔離や遮断などの初動判断を下します。

ディープフォレンジック × デッドボックスフォレンジック

電源を落とした機器のディスクイメージを取得し、『デッドボックスフォレンジック』を行い、その結果をもとに「ディープフォレンジック」で詳細なタイムラインや痕跡を復元します。

まとめ

デジタルフォレンジックは、「誰が、いつ、何をしたのか？」という行動の痕跡をIT機器から読み解くための調査手法です。サイバー攻撃や内部不正など、現代の情報社会における事件・事故に対応するために、ますます重要性が高まっています。

この記事では、以下のようなポイントを紹介しました
・今では企業や組織のセキュリティ対策の一環としてデジタルフォレンジックは広く活用されている
・デジタルフォレンジックには、調査の目的や状況に応じて多様な手法がある
・実際のインシデント現場では、これらの手法を組み合わせて柔軟に対応することが求められる

また、我々にとって重要なのは、フォレンジックが専門家だけの領域ではないということです。日々の業務の中で「何かおかしい」と感じたとき、すぐに調査・保全の初動を意識することが、重大な被害の防止につながります。

まずは知っておくことから

フォレンジックの世界は奥深く、すべてを一度に理解するのは難しいかもしれません。ですが、「どんな手法があるのか」「どんなときに使われるのか」を知っておくだけでも、インシデント発生時の対応力が格段に変わります。インシデントは発生しないことが一番ですが、もし何か起きてしまった際に、本記事がお役に立てば幸いです。

セキュアイノベーションでは、インシデントの初動対応から深い調査・証拠保全まで、状況に応じて最適なフォレンジック手法を組み合わせて対応し、お客様の環境やニーズに合わせた柔軟な調査体制で、迅速かつ的確な支援をご提供します。

関連ページ

デジタルフォレンジックサービス

ダークウェブ情報漏洩調査サービス