無料会員登録
マルウェア感染、不正アクセス、情報漏えいなどセキュリティインシデントに対して、初動対応の切り分け・準備・識別、攻撃の封じ込め、脅威の根絶、復旧などを行う「デジタルフォレンジック・インシデントレスポンス(DFIR)」。
日本ではまだまだ聞き慣れない用語ですが、インシデントの原因や被害範囲を調査し、被害を拡大させない封じ込め対応を迅速に行えることから注目を集めています。
この記事では、デジタルフォレンジック・インシデントレスポンス(DFIR)調査の概要、メリット、フォレンジック企業の選び方、調査の活用事例について解説しています。ぜひ参考にしてください。
目次
デジタルフォレンジック・インシデントレスポンス(DFIR)とは
個人情報の漏えい・データ持ち出し・マルウェア感染・不正アクセスなどが疑われる場合、あるいはセキュリティの脆弱性を特定する場合においては「デジタルフォレンジック」という手法を活用する必要があります。
デジタルフォレンジックとは、コンピュータやネットワークなどからデジタルデータを証拠として保全、解析する技術です。この技術を用いたフォレンジック調査によって、サイバー攻撃などの被害状況、端末の状態、マルウェアなどの侵入経路などを把握してインシデントの原因や経緯を解明し、適切な対応につなげることができます。
そして「インシデントレスポンス」とは、事件や事故などが起こっている状況に対応することを意味します。
特にデジタルフォレンジックを用いて、初動対応の切り分け・準備・識別、攻撃の封じ込め、脅威の根絶、復旧などの対応(=インシデントレスポンス)を行うことを「デジタルフォレンジック・インシデントレスポンス(DFIR)」と呼び、この手法を用いることで、サイバー攻撃の被害状況の確認から、インシデントが発生した際のいわゆる「火消し」までの流れを一気通貫で迅速に行うことができます。
フォレンジック調査の詳細については下記の記事で詳しく解説しています。
デジタルフォレンジック・インシデントレスポンス(DFIR)が必要な理由
マルウェアやランサムウェア感染などのインシデントが発生した場合、初期化やバックアップ対応だけでは不十分です。その理由としては下記の2つを挙げることができます。
- 同様のインシデントが再発する可能性がある
- どのデータやシステムが侵害されたのか判断できない
理由① 同様のインシデントが再発する可能性がある
インシデント発生時は、被害の範囲や影響を、DFIRを通じて正確に把握する必要があります。攻撃者が利用したであろう脆弱性や経路が特定されないまま初期化やバックアップのみで対応すると、システムの脆弱性は放置されてしまうため、再攻撃を受けるリスクがあります。
理由② どのデータやシステムが侵害されたのか判断できない
不正アクセスやマルウェア感染をはじめとするインシデントは、個人情報の窃取を目的として行われることがほとんどです。サイバー攻撃の手口は常に進化しているため、インシデントが発生した時点で「既にデータが抜き取られている」「システムに不正アクセスされている」可能性が極めて高いと考えられます。
このようなサイバー攻撃を受けた際に、バックアップによる復旧、および初期化を行ってしまうと、「どのような経路で、どのようなデータが漏えいしたのか」判断できなくなってしまいます。2022年より施行された改正個人情報保護法に基づき、企業や組織で発生した情報漏えいには、しかるべき機関への報告義務や被害者本人に対する通知義務などが課せられているため、デジタルフォレンジック調査を行わないことでコンプライアンス違反につながりかねません。
万が一サイバー攻撃によって何かしらの個人情報が漏えいした場合、事実の調査に時間をかけられなかったり、人手や専門知識の不足によって十分な報告が困難な場合があります。このような場合は、フォレンジック調査を専門としている調査会社に相談すると、発生したインシデントに応じたデジタルフォレンジック調査を実施し、公的機関に提出可能なレポートを作成してもらえる場合もあります。
デジタルフォレンジック・インシデントレスポンス(DFIR)の流れ
次に、具体的にデジタルフォレンジック・インシデントレスポンス(DFIR)では何を行うのか、実際の流れについて解説します。DFIRは、以下7つのステップに分けられます。
- 準備
- 特定
- 封じ込め
- 根絶
- 復旧
- 修復
- 準備
DFIRの流れを理解し、適切な対応を行うことで、被害を最小限に抑えることができます。
準備
この段階は、インシデントに対応する前に取るべきステップです。
ここではインシデントが発生した場合にどのような対応をとるかを計画します。計画にはインシデント対応チームの編成、連絡先の整備、担当者のアサインなどが含まれます。
特定
この段階でインシデントを特定します。
具体的には、ネットワークトラフィックやログファイルの監視、不正なアクティビティの検出などを通じて、インシデントの兆候を捉えます。
インシデントを特定したら、次の段階以降、その原因を取り除くことで、再発を防止します。
封じ込め
この段階で被害を拡大させないためにインシデントを封じ込めます。具体的には、以下の内容を実施します。
- 影響を受けたシステムの隔離
- 特定のネットワークへのアクセス遮断
- その他の封じ込め対策の実施
インシデントを封じ込めることで、被害の拡大を防ぐことができます。
根絶
この段階では、組織のシステムから脅威を排除し、侵害されたデータを復元します。
具体的には、以下の内容を実施します。
- マルウェアの駆除
- 脆弱性の修正
- データの復元
復旧
この段階では、影響を受けたシステムを通常の運用状態に復旧させます。これにより、業務への影響を最小限に抑えることができます。
改善
この段階では、インシデントから得られた知見を踏まえて、インシデント時の対応計画および手順を改善し、今後のインシデントへの対応力を向上させます。
以上がデジタルフォレンジック・インシデントレスポンス(DFIR)の流れです。実際に何らかのインシデントが発生した際は、一日も早い復旧が望まれます。しかしサイバーインシデントの手口が高度化する中で、被害状況や侵入経路を正確に特定できなければ、同様の手口で被害を受ける可能性も考えられます。
デジタルフォレンジックを専門とする調査会社であれば、専門のツールや高度な調査技術によってインシデント特定が早く完了し、システムの復旧やセキュリティの再構築につなげられる場合があります。
デジタルフォレンジック・インシデントレスポンス(DFIR)にかかる期間
デジタルフォレンジック・インシデントレスポンス(DFIR)にかかる期間は、一般的に数日から数週間程度ですが、調査機器の台数、インシデントの規模、そしてデジタルフォレンジックを行うエンジニアの技術力や経験などによって大きく異なります。
特に大規模な調査や複雑な調査の場合は、調査にかかる時間が長くなる可能性があります。調査結果の公表期限が決まっている場合は、適切な時間内に調査を終了し、必要な文書や証拠を提出できるよう、調査会社との連携を早めに検討しておきましょう。
デジタルフォレンジック・インシデントレスポンス(DFIR)にかかる費用・相場
デジタルフォレンジック・インシデントレスポンス(DFIR)にかかる費用は、一般的に、機器1台につき数十万円から数百万円程度が相場とされています。
ただし、フォレンジック調査会社によっても価格設定は異なるほか、データ復旧やハードウェア復旧などの特別な要件がある場合は、追加費用が発生することも考えられます。
そのため、フォレンジック調査を検討する場合は、まずは信頼性のあるフォレンジック調査会社に相談し、詳細な見積もりを取ることが非常に重要です。調査の範囲や必要なサービスに応じて、費用がどの程度になるのかを明確に把握し、予算を立てることがマストとなります。
デジタルフォレンジック・インシデントレスポンスが必要な理由・メリット
デジタルフォレンジック・インシデントレスポンスは、企業や組織にとって重要な取り組みです。
ここではデジタルフォレンジック・インシデントレスポンスが必要な理由・メリットをご紹介します。
メリット① インシデント発生時、被害を最小限に抑えることができる
サイバー攻撃などセキュリティ上のインシデントは、非常に迅速に拡大し、広範囲に影響を及ぼす可能性があります。この際、DFIRを実施することで、被害範囲を早急に特定します。これには下記のメリットがあります。
- インシデントの原因を迅速に特定することで、被害を拡大させないようにできる。
- どのデータやシステムが攻撃の影響を受けたかなどを正確に把握することで、どの領域に復旧や修復が必要なのかを正確に判断し、復旧や修復に必要なリソースを絞り、効率的な対策をとることができます。
メリット② 不正アクセスで個人情報漏えい等が発生した場合、企業は個人情報保護委員会への報告義務がある
2022年4月に施行された改正個人情報保護法では、不正アクセスによる個人情報の漏えいが1件でも確認された時点で、本人および個人情報保護委員会への届け出が必要になりました。
仮に個人情報保護委員会の措置命令に違反した場合、最高で1億円の罰金が科される恐れがあります。
>情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら
インシデント発生時、初期化やバックアップからの復旧だけで済ませてしまうと、どのデータやシステムが侵害されたのか判断できなくなり、調査も検証も困難です。このような状況で情報漏えいの通報・報告が出てきた場合、社会的な責任を問われる、個人情報保護法に抵触する可能性が高いと考えられます。
そのため、インシデントが発生した場合は、DFIRで以下の対応を行うことが重要です。
- 初動対応:インシデントを早期に発見し、被害を拡大させないようにする
- 調査:インシデントの原因や被害範囲を調査する
- 封じ込め:インシデントによる被害を拡大させないようにする
- 復旧:インシデントによって影響を受けたシステムやデータを復旧する
特に「調査」はインシデント発生後の重要な対応です。調査によって、感染経路や被害状況を特定することで、再発を防止し、被害を完全に回復することができます。
ただ、DFIRは高度な技術と専門的な知識を必要とします。個人がこれを行うのは難しく、多くの場合、サイバーセキュリティの知見が豊富な、フォレンジック調査の専門業者に対応を依頼する必要があります。
マルウェア・ランサムウェア感染や情報漏えいにはフォレンジック調査がおすすめ
情報漏えいが発生した場合、個人情報保護委員会への報告が必要です。しかし、デジタルデータは改ざんや削除が容易なため、一般的な収集方法では証拠として機能しないことがあります。
このような場合、デジタルフォレンジック・インシデントレスポンス(DFIR)の一環でフォレンジック調査を受けることが有効です。
フォレンジック調査では、データの改ざんや削除がないことを証明したうえで、端末やネットワークのログ、電子メールの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。また、意図的に削除されたデータを復旧させることも可能です。
社内不正の証拠が隠滅された場合でも、早期に対応すれば復元できる可能性が高いです。データの改ざんや隠滅が疑われる場合は、高いデータ復旧技術を兼ね備えたフォレンジック調査会社に速やかに相談しましょう。
デジタルフォレンジックの調査内容
ここではデジタルフォレンジック・インシデントレスポンス(DFIR)のうち、デジタルフォレンジック調査で何がわかるのか、ご紹介します。インシデントが発生した際に以下の内容を調査することによって適切な対応につなげることが可能です。
- 情報漏えいやマルウェア感染の経路
- 社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
- 電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
- ファイアウォールなどに記録されているセキュリティログの確認
情報漏えいやマルウェア感染の経路
デジタルフォレンジック調査によって、情報漏えいやマルウェア感染・ランサムウェア感染の原因を特定するために活用されます。
例えば、不正アクセスによって機密情報が外部に流出した場合、不正アクセスの経路や、機密情報の流出経路を特定することができます。
特にランサムウェア攻撃は、コンピュータシステムを暗号化し、復号のための身代金が要求される悪質なものです。もしも企業のファイルサーバが暗号化された場合、DFIRを活用して、攻撃者が使用した侵入経路や、盗まれた情報を把握することが出来ます。これらの情報を分析することで、ランサムウェア攻撃の被害を最小限に抑えるための対策を講じることができます。
社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
デジタルフォレンジック調査は、社内サーバーやネットワークへのハッキングや不正アクセスの痕跡を調査するためにも活用されます。
例えば、不正アクセスによってサーバーに侵入された場合、デジタルフォレンジック・インシデントレスポンス(DFIR)によって、攻撃者が行った操作や、侵入に使用したツール、侵害されたデータやシステムの種類と範囲を特定し、どの情報が漏洩したか、どのデータが改ざんされたかなどの痕跡を特定することができます。
電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
デジタルフォレンジック調査は、電子メールの送受信やWEBの閲覧などのインターネット通信の履歴を調査するためにも活用されます。
例えば、従業員が社内情報を不正に持ち出した疑いがある場合、デジタルフォレンジック・インシデントレスポンス(DFIR)によって、外部サーバーやドメインとの通信、従業員の電子メール、WEB閲覧履歴などを調査することで、不正行為の証拠を収集・保全することができます。
ファイアウォールなどに記録されているセキュリティログ
デジタルフォレンジック調査の一環として、ファイアウォールなどに記録されているセキュリティログの確認も行うことがあります。例えば、DDoS攻撃を受けた場合、デジタルフォレンジック・インシデントレスポンス(DFIR)によって、DDoS攻撃の発生時刻や対象、攻撃元などの情報を特定することができます。
このようにデジタルフォレンジックを行うことで、その後の被害の封じ込めや復旧作業を適切に行いやすくします。一方で、近年はサイバー攻撃の手口が巧妙化し、ログや不正アクセスの痕跡などが残らないといった事態もあります。
その結果、デジタルフォレンジック技術はより高度な専門性が必要となってきます。この場合は、デジタルフォレンジック・インシデントレスポンス(DFIR)に精通した専門の調査会社に相談することで、証拠データの消失を防ぎ、調査会社によってはインシデントレスポンスに利用できる報告書としてまとめてもらうことも可能です。突然セキュリティインシデントが発生したらまずは専門家まで相談し、必要な調査項目の整理や見積りを行いましょう。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
DFIRは、サイバー攻撃やインシデントの被害を最小限に抑え、組織の損害を防ぐための重要な取り組みです。DFIRのメリットや活用事例を理解し、適切な対応を行うことで、被害を最小限に抑えておきましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
