マルウェア感染、不正アクセス、情報漏えいなどセキュリティインシデントに対して、初動対応の切り分け・準備・識別、攻撃の封じ込め、脅威の根絶、復旧などを行う「デジタルフォレンジック・インシデントレスポンス（DFIR）」。

日本ではまだまだ聞き慣れない用語ですが、インシデントの原因や被害範囲を調査し、被害を拡大させない封じ込め対応を迅速に行えることから注目を集めています。

この記事では、デジタルフォレンジック・インシデントレスポンス（DFIR）調査の概要、メリット、フォレンジック企業の選び方、調査の活用事例について解説しています。ぜひ参考にしてください。

デジタルフォレンジック・インシデントレスポンス（DFIR）とは

個人情報の漏えい・データ持ち出し・マルウェア感染・不正アクセスなどが疑われる場合、あるいはセキュリティの脆弱性を特定する場合においては「デジタルフォレンジック」という手法を活用する必要があります。

デジタルフォレンジックとは、コンピュータやネットワークなどのデジタルデータから、インシデントの原因や経緯を解明する調査手法です。

特にデジタルフォレンジックを用いて、初動対応の切り分け・準備・識別、攻撃の封じ込め、脅威の根絶、復旧などの対応（＝インシデントレスポンス）を行うことを「デジタルフォレンジック・インシデントレスポンス（DFIR）」と呼び、この手法を用いることで、サイバー攻撃の被害状況の確認から、インシデントが発生した際のいわゆる「火消し」までの流れを一気通貫で迅速に行うことができます。

フォレンジック調査の詳細については下記の記事で詳しく解説しています。

【比較】フォレンジック調査とは？費用や事例からおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年5月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

インシデント発生時、初期化やバックアップからの復旧だけでは不十分である理由

マルウェアやランサムウェア感染などのインシデントが発生した場合、初期化やバックアップ対応だけでは不十分です。その理由としては下記の2つを挙げることができます。

1. 同様のインシデントが再発する可能性がある
2. どのデータやシステムが侵害されたのか判断できない

理由① 同様のインシデントが再発する可能性がある

インシデント発生時は、被害の範囲や影響を、DFIRで正確に評価する必要があります。攻撃者が利用したであろう脆弱性や経路が特定されないまま初期化やバックアップのみで対応すると、再攻撃を受けるリスクがあります。

理由② どのデータやシステムが侵害されたのか判断できない

不正アクセスやマルウェア感染は、情報窃取を目的として行われることがほとんどです。要はインシデントが発生した時点で「データが抜き取られている」「システムに不正アクセスされている」可能性が極めて高いと考えられます。

しかし、バックアップによる復旧、および初期化を行ってしまうと、「どのような経路で、どのようなデータが漏えいしたのか」判断できなくなってしまいます。企業や組織にとって、これはコンプライアンス違反になりかねません。背景として2022年4月に施行された改正個人情報保護法の存在が挙げられます。

デジタルフォレンジック・インシデントレスポンスが必要な理由・メリット

デジタルフォレンジック・インシデントレスポンスは、企業や組織にとって重要な取り組みです。

ここではデジタルフォレンジック・インシデントレスポンスが必要な理由・メリットをご紹介します。

メリット① インシデント発生時、被害を最小限に抑えることができる

サイバー攻撃などセキュリティ上のインシデントは、非常に迅速に拡大し、広範囲に影響を及ぼす可能性があります。この際、DFIRを実施することで、被害範囲を早急に特定します。これには下記のメリットがあります。

• インシデントの原因を迅速に特定することで、被害を拡大させないようにできる。
• どのデータやシステムが攻撃の影響を受けたかなどを正確に把握することで、どの領域に復旧や修復が必要なのかを正確に判断し、復旧や修復に必要なリソースを絞り、効率的な対策をとることができます。

メリット② 不正アクセスで個人情報漏えい等が発生した場合、企業は個人情報保護委員会への報告義務がある

2022年4月に施行された改正個人情報保護法では、不正アクセスによる個人情報の漏えいが1件でも確認された時点で、本人および個人情報保護委員会への届け出が必要になりました。

仮に個人情報保護委員会の措置命令に違反した場合、最高で1億円の罰金が科される恐れがあります。

＞情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら

インシデント発生時、初期化やバックアップからの復旧だけで済ませてしまうと、どのデータやシステムが侵害されたのか判断できなくなり、調査も検証も困難です。このような状況で情報漏えいの通報・報告が出てきた場合、社会的な責任を問われる、個人情報保護法に抵触する可能性が高いと考えられます。

そのため、インシデントが発生した場合は、DFIRで以下の対応を行うことが重要です。

• 初動対応：インシデントを早期に発見し、被害を拡大させないようにする

• 調査：インシデントの原因や被害範囲を調査する

• 封じ込め：インシデントによる被害を拡大させないようにする

• 復旧：インシデントによって影響を受けたシステムやデータを復旧する

特に「調査」はインシデント発生後の重要な対応です。調査によって、感染経路や被害状況を特定することで、再発を防止し、被害を完全に回復することができます。

ただ、DFIRは高度な技術と専門的な知識を必要とします。個人がこれを行うのは難しく、多くの場合、サイバーセキュリティの知見が豊富な、フォレンジック調査の専門業者に対応を依頼する必要があります。

デジタルフォレンジック・インシデントレスポンス（DFIR）の対応実績が豊富な調査会社はこちら＞＞

マルウェア・ランサムウェア感染や情報漏えいにはフォレンジック調査がおすすめ

情報漏えいが発生した場合、個人情報保護委員会への報告が必要です。しかし、デジタルデータは改ざんや削除が容易なため、一般的な方法では証拠として機能しません。

このような場合、デジタルフォレンジック・インシデントレスポンス（DFIR）が有効です。

デジタルフォレンジック・インシデントレスポンス（DFIR）では、データの改ざんや削除がないことを証明したうえで、端末やネットワークのログ、電子メールの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。また、意図的に削除されたデータを復旧させることも可能です。

社内不正の証拠が隠滅された場合でも、早期に対応すれば復元できる可能性が高いです。データの改ざんや隠滅が疑われる場合は、高いデータ復旧技術を兼ね備えたフォレンジック調査会社に速やかに相談しましょう。

信頼できるフォレンジック調査専門会社を選ぶポイント

マルウェア・ランサムウェアなどに感染、不正アクセス、サイバー攻撃を受けた疑いがある場合は、感染経路や影響範囲を特定するために信頼できる調査機関でのフォレンジック調査を行いましょう。

信頼できるフォレンジック調査専門会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• スピード対応している
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記の6つのポイントから厳選したおすすめランキング１位の調査会社は、デジタルデータフォレンジックです。

デジタルフォレンジック・インシデントレスポンス（DFIR）の活用事例

ここではデジタルフォレンジック・インシデントレスポンス（DFIR）の活用事例についてご紹介します。

• 情報漏えいやマルウェア感染の経路
• 社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
• 電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
• ファイアウォールなどに記録されているセキュリティログの確認

情報漏えいやマルウェア感染の経路

デジタルフォレンジック・インシデントレスポンス（DFIR）は、情報漏えいやマルウェア感染の原因を特定するために活用されます。

例えば、不正アクセスによって機密情報が外部に流出した場合、不正アクセスの経路や、機密情報の流出経路を特定することができます。

社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡

デジタルフォレンジック・インシデントレスポンス（DFIR）は、社内サーバーやネットワークへのハッキングや不正アクセスの痕跡を調査するためにも活用されます。

例えば、不正アクセスによってサーバーに侵入された場合、デジタルフォレンジック・インシデントレスポンス（DFIR）によって、攻撃者が行った操作や、侵入に使用したツールなどの痕跡を特定することができます。

電子メールの送受信やWEBの閲覧などのインターネット通信の履歴

デジタルフォレンジック・インシデントレスポンス（DFIR）は、電子メールの送受信やWEBの閲覧などのインターネット通信の履歴を調査するためにも活用されます。

例えば、従業員が社内情報を不正に持ち出した疑いがある場合、デジタルフォレンジック・インシデントレスポンス（DFIR）によって、外部サーバーやドメインとの通信、従業員の電子メール、WEB閲覧履歴を調査することで、不正行為の証拠を収集・保全することができます。

ファイアウォールなどに記録されているセキュリティログの確認

デジタルフォレンジック・インシデントレスポンス（DFIR）は、ファイアウォールなどに記録されているセキュリティログの確認にも活用されます。例えば、DDoS攻撃を受けた場合、デジタルフォレンジック・インシデントレスポンス（DFIR）によって、DDoS攻撃の発生時刻や対象、攻撃元などの情報を特定することができます。

このように、デジタルフォレンジック・インシデントレスポンス（DFIR）は、情報セキュリティインシデントの調査や、内部不正の防止など、さまざまな場面で活用されています。

デジタルフォレンジック・インシデントレスポンス（DFIR）の流れ

デジタルフォレンジック・インシデントレスポンス（DFIR）は、デジタルデータの収集・分析・解析を通じて、攻撃の痕跡や被害状況を特定し、対策を講じます。

DFIRは、以下のようなさまざまな場面で活用されています。

• ランサムウェア攻撃の調査
• 不正アクセス・データ侵害への対応
• 従業員の不正行為の調査
• 訴訟のための証拠収集

ランサムウェア攻撃の調査

ランサムウェア攻撃とは、コンピュータシステムを暗号化し、復号するために身代金を要求する攻撃です。

ランサムウェア攻撃によって、企業のファイルサーバが暗号化された場合、DFIRを活用して、攻撃者が使用した侵入経路や、盗んだ情報を把握することが出来ます。これらの情報を分析することで、ランサムウェア攻撃の被害を最小限に抑えるための対策を講じることができます。

>ランサムウェア感染時の初動対応はこちら

不正アクセス・データ侵害への対応

不正アクセス・データ侵害とは不正にシステムに侵入して、データ窃取や改ざんを行う攻撃です。不正アクセス・データ侵害が発生した場合、DFIRを活用して、攻撃の痕跡を特定し、侵害されたデータやシステムの種類と範囲を特定し、どの情報が漏洩したか、どのデータが改ざんされたかを正確に理解するのに役立ち、復旧戦略の策定に寄与します。

従業員の不正行為の調査・訴訟のための証拠収集

DFIR（デジタルフォレンジック・インシデントレスポンス）は、社内での不正行為の調査にも有効です。

社内での不正行為とは、企業の資産や情報を不正に利用する行為です。不正行為の例としては、以下のようなものが挙げられます。

• データの窃取
• 改ざん
• 不正アクセス
• 不正使用

不正行為の被害を特定し、責任者を特定するためには、不正行為の痕跡を収集・分析する必要があります。DFIRでは、ログファイルやシステムの状態などのデータを収集・分析することで、不正行為の痕跡を特定することができます。

また、DFIRでは、法令遵守も考慮して、証拠を保全する役割も果たします。これにより、裁判などの法的手続きにおいても有効な証拠として活用することができます。

デジタルフォレンジック・インシデントレスポンスの流れ

デジタルフォレンジック・インシデントレスポンス（DFIR）の流れは、以下7つのステップに分けられます。

1. 準備
2. 特定
3. 封じ込め
4. 根絶
5. 復旧
6. 修復
7. 準備

DFIRの流れを理解し、適切な対応を行うことで、被害を最小限に抑えることができます。

準備

この段階は、インシデントに対応する前に取るべきステップです。

ここではインシデントが発生した場合にどのような対応をとるかを計画します。計画にはインシデント対応チームの編成、連絡先の整備、担当者のアサインなどが含まれます。

特定

この段階でインシデントを特定します。

具体的には、ネットワークトラフィックやログファイルの監視、不正なアクティビティの検出などを通じて、インシデントの兆候を捉えます。

インシデントを特定したら、次の段階以降、その原因を取り除くことで、再発を防止します。

封じ込め

この段階で被害を拡大させないためにインシデントを封じ込めます。具体的には、以下の内容を実施します。

• 影響を受けたシステムの隔離
• 特定のネットワークへのアクセス遮断
• その他の封じ込め対策の実施

インシデントを封じ込めることで、被害の拡大を防ぐことができます。

根絶

この段階では、組織のシステムから脅威を排除し、侵害されたデータを復元します。

具体的には、以下の内容を実施します。

• マルウェアの駆除
• 脆弱性の修正
• データの復元

復旧

この段階では、影響を受けたシステムを通常の運用状態に復旧させます。これにより、業務への影響を最小限に抑えることができます。

改善

この段階では、インシデントから得られた知見を踏まえて、インシデント時の対応計画および手順を改善し、今後のインシデントへの対応力を向上させます。

おすすめフォレンジック調査会社

フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• スピード対応している
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルフォレンジック・インシデントレスポンス（DFIR）にかかる期間

デジタルフォレンジック・インシデントレスポンス（DFIR）にかかる期間は、一般的に数日から数週間程度ですが、調査機器の台数、インシデントの規模、そしてデジタルフォレンジックを行うエンジニアのノウハウや経験などによって大きく異なります。

特に大規模な調査や複雑な調査の場合は、調査にかかる時間が長くなる可能性があります。調査結果の公表期限が決まっている場合は、適切な時間内に調査を終了し、必要な文書や証拠を提出できるよう、調査会社との連携を早めに検討しておきましょう。

デジタルフォレンジック・インシデントレスポンス（DFIR）にかかる費用・相場

デジタルフォレンジック・インシデントレスポンス（DFIR）にかかる費用は、一般的に、機器1台につき数十万円から数百万円程度が相場とされています。

ただし、フォレンジック調査会社によっても価格設定は異なるほか、データ復旧やハードウェア復旧などの特別な要件がある場合は、追加費用が発生することも考えられます。

そのため、フォレンジック調査を検討する場合は、まずは信頼性のあるフォレンジック調査会社に相談し、詳細な見積もりを取ることが非常に重要です。調査の範囲や必要なサービスに応じて、費用がどの程度になるのかを明確に把握し、予算を立てることがマストとなります。

まとめ

DFIRは、サイバー攻撃やインシデントの被害を最小限に抑え、組織の損害を防ぐための重要な取り組みです。DFIRのメリットや活用事例を理解し、適切な対応を行うことで、被害を最小限に抑えておきましょう。