サイバー攻撃やビジネスシーンにおける法的紛争に備えるためには、デジタルフォレンジックについて知ること、そのうえで必要に応じて技術を導入することが重要です。ITシステムやデジタル端末を当たり前のように使用するようになった現代では、それらから必要な情報を収集してトラブルの原因をつかむこと、証拠を特定することが必要不可欠となっています。
そこで今回は、近年需要が高まっているデジタルフォレンジックについて解説していきます。目的や種類、実態などをチェックしたうえで、セキュリティ対策強化にもつなげていきましょう。
デジタルフォレンジックとは?
サイバー攻撃をはじめとしたサイバー空間での犯罪が多く取り沙汰され、社会問題となっている昨今は、デジタルデータ・ITシステムなどが関わる事件・裁判も増加傾向にあります。そしてそれらの件数は、IT化が進むにつれて今後もますます増えていくものと考えられるでしょう。
そんなときに注目しておきたいことの一つに、「デジタルフォレンジック」があります。これは、IT技術やネット環境などの「デジタル」と、法廷・法科学を示す言葉である「フォレンジック」を組み合わせた言葉です。したがって、法廷・法科学の概念をデジタル環境に取り入れていく考え方を、デジタルフォレンジックと呼びます。
具体的には、サイバー攻撃や人為的なミスによる情報流出などの事故・事件があった際に、証拠を探したりその証拠を保管すること、そういった作業や考え方そのものをデジタルフォレンジックと呼ぶこともあります。
例えば、故意に機密情報を外部に流出させた社員がいた場合、その社員は、簡単に足がつかないようにわかりやすい証拠は隠滅しているでしょう。デジタルフォレンジックでは、そういった削除されたログ情報を復元したり、破損したシステムを直したりして、証拠の特定につなげていきます。
デジタルフォレンジックを行う3つの目的
デジタルフォレンジックには、主に次のような目的があります。
- 被害を受けた際の原因を知る
- 責任の所在などを明確にする
- 不正行為の誘発防止
主にこのような場面において、デジタルフォレンジックは重要性を発揮します。デジタルフォレンジックの目的を知り、その必要性について理解を深めれば、自然とサイバー犯罪への対策につながっていきます。
では、それぞれの目的の詳細を見ていきましょう。
1.被害を受けた際の原因を知る
デジタルフォレンジックでは、まず不正アクセスやデータ改ざん、マルウェア感染などのサイバー攻撃被害を受けた際に、その被害の状況を確認していきます。そのうえで何が原因となって攻撃を許してしまったのか、原因を素早く特定していくのが特徴です。
例えば古いシステムをまともなセキュリティ対策がないまま使用していた場合、そこに生じた脆弱性が侵入を許してしまった可能性が考えられます。
ウイルスの類であれば、不正プログラムが仕組まれたメール添付ファイルを開いたのが、きっかけだったのかもしれません。このようにデジタルフォレンジックでは、「穴」となっている部分を見つけ出し、原因を究明します。そのうえで今後同じ被害を受けることのないよう、対策強化につなげていく仕組みです。
2.責任の所在などを明確にする
デジタルフォレンジックは、訴訟対策として用いられることが多いのが特徴です。まず情報流出などの事件において顧客や取引先などと裁判になった場合は、少しでも優位性を守れるよう、先回りの立ち回りが重要となります。
前もって責任の所在がどこにあるのか、客観的な立場から明らかにしておけば、訴訟の準備ができます。誰の過失で事件が起きたのか、何が原因だったのかなどの点を事前に把握しておけば、把握したうえでの適切な訴訟対策が講じられます。
3.不正行為の誘発防止
デジタルフォレンジックは、不正行為の誘発を未然に防ぐきっかけにもなります。
デジタルフォレンジックによって隠滅した証拠が復元できる可能性が出てくれば、攻撃者にとってその環境は最も避けたい環境になります。足がつかないように証拠となるログを消しても、分析や復元によって証拠が特定されてしまうのですから、不正行為を働きにくいのは確かです。
つまりデジタルフォレンジックが可能であること、すぐにでもそういった行為が行える体制を敷いていることを周囲に示せれば、サイバー犯罪の抑止力になります。特に内情をよく知る従業員に対しては効果的です。内部の人間による情報の流出・奪取といった不正行為は、近年決して少なくないため、デジタルフォレンジックの体制を整えて抑止力を持つことは重要になります。
デジタルフォレンジックの種類
続いてここからは、デジタルフォレンジックの種類をピックアップしてみましょう。デジタルフォレンジックと一口に言っても、さまざまな種類があります。主に挙げられるのは次の3つの種類です。
- コンピューターフォレンジック
- モバイルフォレンジック
- ネットワークフォレンジック
それぞれどのような特徴があり、どのような場面で必要性を発揮するのかチェックしたうえで、サイバー攻撃や不正行為に備えていきましょう。では、種類ごとに特徴を整理していきます。
コンピューターフォレンジック
コンピューターフォレンジックとは、主にパソコン関連のデバイスに対して証拠の分析、ログの復元などを行うことを指します。
サーバー上でデータ改ざんなどが行われた際にも、コンピューターフォレンジックは大きく役に立ちます。アクセスログから細かい変更ログまでを細かくチェックし、必要に応じて消されている証拠の復元を試みていきます。
証拠につながるデータは、証拠隠滅として消してしまえば足がつかなくなると思いがちですが、デジタルフォレンジックの技術を用いれば、消されたデータの復元は可能な場合が多いです。
モバイルフォレンジック
モバイルフォレンジックは、パソコン関連ではなく、スマートフォンをはじめとしたモバイル端末に対して証拠の分析・解析を行うのが特徴です。ブラウザのアクセス履歴、アプリの使用履歴、通話やメール等の履歴を調査していきます。
モバイル端末は、スマートフォンの普及に伴い、ビジネス環境でも多くの場面で活用されています。そのため、サイバー犯罪というとパソコンや大規模なサーバーなどをイメージしがちですが、モバイルフォレンジックが必要とされるケースは現代において決して珍しくありません。
ネットワークフォレンジック
ネットワークフォレンジックでは、ネットワーク接続に関するデータを調べて証拠の発見・保全につなげていきます。ネット環境を悪用したサイバー犯罪は近年非常に多く、ネットワークフォレンジックでは、ネットに接続するための境界においてどのようなパケット通信が行われたのか調査していきます。
パケットデータを収集して内容をひとつずつチェックすれば、どのようなデータの送受信があったのかがわかってくるため、不正・犯罪行為の証拠を見つけられます。
実際にデジタルフォレンジックをするのはどんなとき?
ここからは、デジタルフォレンジックが必要とされる具体的な場面をみていきましょう。主にデジタルフォレンジックが行われるのは、次のようなときです。
- 顧客情報などの情報漏えい時
- ランサムウェアの感染時
- 内部の不正が明らかになった時
- 労働時間などで訴訟・争議になった時
このように犯罪行為の証拠集めだけでなく、情報端末から証拠を見つけることで労働や各種ハラスメント問題の訴訟に備えることもできるのが、デジタルフォレンジックの役割です。では、詳細を解説していきます。
顧客情報などの情報漏えい時
顧客情報や製品やサービスに関する機密情報が漏洩した際には、まずデジタルフォレンジックによって被害の全容を確かめていきます。
具体的にどれだけの情報が外部に流行したのかチェックしたうえで、被害のきっかけや原因となった箇所の特定に努めます。
ランサムウェアの感染時
ランサムウェアとは、システムの暗号化やアクセス不能な状態にすることで、身代金を要求するマルウェア感染の一種です。昨今、ランサムウェアによる被害は拡大の一途をたどっており、しっかりとセキュリティ対策を施している大企業ですら、ランサムウェアによって大きなダメージを受けることは珍しくありません。
そういったランサムウェアによる被害が見られた場合は、どこが感染経路になったのかをデジタルフォレンジックによって究明していきます。なお、ウイルス感染というとパソコンやモバイル端末の印象が強いですが、近年はネットワークにつながっている別端末やサーバーが被害を受ける事例もあります。
内部の不正が明らかになった時
内部の人間による不正行為が明らかになった際も、デジタルフォレンジックは大きく役立ちます。例えば、重要書類の改ざん行為や、故意による機密情報の持ち出しなどが挙げられます。
内部不正は証拠の隠蔽工作が施されていることが多いですが、そういった場合でも、デジタルフォレンジックでは専用ツールを使用して証拠となるデータの復元を行っていきます。そのうえで不正者を特定したり、証拠を保全します。
労働時間などで訴訟・争議になった時
デジタルフォレンジックというと、サイバー攻撃や内部の人間による情報流出に対するものと思われがちですが、労働問題などで訴訟や話し合いの場が持たれた際にも役立ちます。
例えば、残業代や各種ハラスメントの記録などといった証拠集めが代表的です。勤怠管理システムやコミュニケーションツールなどの履歴を調査し、証拠となるデータを訴訟や話し合いの際に提出していきます。
デジタルフォレンジックをする際の調査費用の相場
デジタルフォレンジックが必要となった際には、専門の調査会社に依頼するのが一般的です。しかし、費用がどれくらいになるのか、相場が気になるところです。
おおよその目安として挙げられる相場は、調査するデバイス一つにつき数十万〜になります。最低限それくらいの額がかかることは認識しておきましょう。ただ、事例によってはデバイス一つに対して100万円を超えるようなパターンもあり、調査依頼にしっかりと見積もりを取ることが重要です。
デジタルフォレンジックの流れ
最後に、デジタルフォレンジックの詳しい流れを整理していきましょう。デジタルフォレンジックが行われる際には、次のような手順になります。
- 証拠の保全・収集
- データの読み出し・解析
- データの分析
- 報告
では、それぞれの項目における重要なポイントを整理していきます。
証拠の保全・収集
データが改ざんされていたり破損していたケースを除き、原因の究明や証拠を特定する際には、データは可能な限り現状を維持しておく必要があります。
そのうえでデジタルデータを収集し、調査をするにあたって必要なデータが消されたり盗まれないように保全対策を行っていきます。
データの読み出し・解析
続いて原因究明や証拠特定に役立つデータが集まったら、分析工程につなげるための準備を行っていきます。
メディアから可読データを作り出すのが主な作業になります。タイムスタンプのチェック、アクセスログの洗い出しなどを行いながら、必要な情報を読み解ける状態にしていくのです。なお、事例の規模やデータの多さによっては、数日の時間を要することも珍しくありません。
データの分析
読み出し・解析などの行程を経たら、いよいよ分析を進めて原因究明や証拠特定につなげていきます。何がウイルスの感染経路になったのか、不正行為が行われたのはいつなのかなど、さまざまなデータを照らし合わせながら確認していきます。
これらの作業は、完全オートメーション化することは難しく、基本的には手作業でひとつずつチェックを行っていきます。そのため、調査完了までにはある程度時間がかかります。
報告
調査が完了したら、被害の全容、原因、責任の所在などに関する情報をまとめたうえで報告を行います。
その際には、スムーズに客観視できるようにレポートのようなかたちで報告書が作成されます。このようなレポートや報告書、それに付随する書類が、証拠としてその後活用されていく仕組みです。
まとめ
デジタルフォレンジックでは、サイバー犯罪によって被害を受けた場合、ITシステムが関わるトラブル・事件が起きた場合などに、原因解明や証拠収集に役立ちます。不正アクセスやマルウェア感染、データ改ざんなど、さまざまなサイバー犯罪が問題となっている現代では、今後もデジタルフォレンジックの技術は求められていくでしょう。
大事なのは、デジタルフォレンジックについての理解を深め、そのうえで不正防止・予防につなげていくことです。これもセキュリティ対策向上を考えるうえで重要なポイントになります。デジタルフォレンジックとは何か把握したうえで、万が一の被害やトラブルに対して備えを万全にしていきましょう。