サイバーセキュリティ対策において、フォレンジックという言葉を耳にする機会は大変多くあります。ですがフォレンジックと聞いてもピンと来ない方も多いのではないでしょうか?
今回はフォレンジックについて、確認をしながら紹介をしていきます。
フォレンジックとは何か?
フォレンジックとは簡単に説明すると、“検証を行う作業”のことを指します。日本語への直訳では「法廷の」や「法医学の」となる形容詞です。定義としては様々な内容で説明・紹介されますが、確認や検証を行う作業のことを「フォレンジック」と呼ぶことが多くなっています。
トラブルが発生した際に、もたらされた結果から道筋をたどっていき、原因を特定する。このような調査のことをフォレンジック調査、またはフォレンジック作業と呼ばれます。
コンピュータの分野では端末やメディア、そしてサーバやルータなどのネットワーク機器などがフォレンジックの対象となります。
フォレンジックの種類
コンピュータフォレンジックス
複数台の端末にて整合性を調査するフォレンジックをコンピュータフォレンジックと言い、この調査では各端末のハードディスクを物理的に検証を行っていきます。証拠側端末と解析側端末に分け、証拠側端末の複製を生成しながらの検証となります。複製を作るのは証拠としての品質を保つために重要なものとなります。
コンピュータフォレンジックスは、複数台の同様のデータの整合性を確認する際に行われ、バックアップ端末との比較を行うという形で用いられることが多くあります。
以前はバックアップ用のメディアとして磁気テープや光ディスクが使用されることも多くありましたが、フォレンジックの作業に大変多くの時間がかかってしまったり、データの破損が起きやすいなどのデメリットがあり、ハードディスクにおいてバックアップがされることが多くなっています。
ネットワークフォレンジックス
こちらはネットワーク内の通信データを調査するものになります。対象のネットワーク内の全てのデータをキャプチャし、各データを解析を行っていき、破損したデータを復元していきます。
サーバ管理にてネットワークが構築されている場合にはサーバ毎に行い、トラブルの原因を特定し、各ファイルの復元を目指すことになります。またトラブルのもととなった端末が特定されている場合には、その端末からの通信データを解析し、通信先の特定を行っていきます。
このネットワークフォレンジックスは、ある特定のネットワーク内での調査が目的であり、インターネットを介しての外部との通信になると、解析が非常に困難なものとなってしまいます。
ネットワーク外に情報を流出させないためには、ネットワークフォレンジックス専用のサーバを導入し、その管理下においてデータ通信を行っていく必要があります。専用サーバの管理下であればトラブルの特定は難しいことではなく、外部への通信も監視・制限を行うことも出来ます。
大きな企業では社内ネットワークが構築され、大変多くの端末が様々な情報のやりとりを行っています。フォレンジックを行う専用のサーバを導入すれば、すべての端末の通信データを収集することが出来、トラブルを未然に防ぐ対策を行うことも出来るようになります。もちろん、外部からのアクセスに対しても履歴を残すことが出来るため、不正なアクセスへの対策としても有効なものとなります。
今後はクラウド環境にも対応可能
オンプレミス環境を中心に利用が進むフォレンジック。これまで多くのエンドユーザーが混在し大量のデータが流れるクラウド環境では実現が困難とされていましたが、2015年6月にはクラウド上でのネットワークフォレンジックの検証が行われるなど、機能革新が行われています。
トラブルが起きても原因の特定や検証が出来ない状態では、そのトラブルの再発防止をすることが出来ず、同様の事態を繰り返してしまう恐れもはらんでいます。万が一の事態への備えとして、フォレンジックを行える環境整備が必要なのです。