ネットワークフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説

個人情報の漏洩や、ネットワークに対する不正なアクセスが後を絶ちません。これらの行為の証拠を掴み、事件を解明する技術がデジタルフォレンジックです。とりわけ近年はシステムがネットワーク化されていることもあり、ネットワークフォレンジックが注目を集めています。今回はネットワークフォレンジックの概要について徹底解説します。

ネットワークフォレンジックとは

フォレンジックという言葉はもともと医学用語であり「法廷の」「法医学の」「科学捜査の」という意味です。具体的には警察の鑑識のようなものであり、事件が発生したときに、現場の保全や調査を行うことを表しています。

ネットワークフォレンジックはフォレンジックにネットワークを足した言葉です。実際に事件が発生することを想定して、ネットワーク上のデータの動きの調査や分析をし、どのコンピュータが、いつ、どのような経路で、何のデータを送受信したのか、などの情報を完全な状態で記録します。

ネットワークフォレンジックの歴史

ネットワークフォレンジックは、不正アクセスやマルウェアによる被害の増大とともに進化してきました。2015年6月には日本年金機構における年金情報流出事件が発生し、100万人以上の個人情報が流出しました。この事件は標的型攻撃により、職員の端末にマルウェアを感染させ、攻撃者は大量の個人情報を取得したと見込まれています。

2017年にはランサムウェア「Wannacry」が世界中で広まり、企業におけるセキュリティ意識の向上するきっかけにもなりました。

従来のパソコンにインストールするタイプのセキュリティ対策ソフトや、ネットワーク間のデータを監視するファイアウォールやIDS、IPSなどの機器だけでは、これらの新しい脅威に対応できなくなってきました。従来のセキュリティ対策では、高度なサイバー攻撃を防ぐことが難しくなってきたのです。

そこで近年注目を集めているのがネットワークフォレンジックです。防ぎきれないサイバー攻撃に対して、侵入されたり不正アクセスされたりすることを前提とし、インシデント発生時のログや通信データを完全に収集することで、証拠の保全と分析、調査を行うようになってきたのです。

ネットワークフォレンジックの仕組み

ネットワークフォレンジックでは、パケットキャプチャというツールをつかって証拠を保全します。パケットキャプチャとはネットワークに流れるデータ(パケット)を捕らえて、保存するツールです。パケットキャプチャにより捉えられるデータは、例えばファイルの編集ログや、外部の端末との接続履歴、インターネットの閲覧履歴、などです。これらの情報をそのままの状態で、完璧に保存するツールがパケットキャプチャです。

ネットワークフォレンジックを行うためには、予めパケットキャプチャをネットワーク内に仕掛けておく必要があります。最近では暗号化技術であるSSLの復号装置を兼ね備えたパケットキャプチャも存在します。これにより暗号化されたパケットも、復号化されたパケットとして捉えることができます。

ネットワークフォレンジックのメリット

今やネットワークフォレンジックは全ての企業に必要なセキュリティ対策です。まずはそのメリットから見ていきましょう

企業のコンプライアンスへの対応ができる

個人情報の流出などセキュリティのインシデントが発生した時に求められるのが、コンプライアンスへの対応です。コンプライアンスとは企業が法令や規則を守ることであり、法令順守とも言われます。

最近ではヨーロッパ各国でGDPR(一般データ保護規則)が施行されたこともあり、政府からの企業に対するセキュリティ要件が厳しくなってきています。日本においても、今後ますます取締りが強化される予定です。

インシデント発生時に、専門機関へ必要な情報が提供できなければ、証拠不十分になる可能性があります。そのためにネットワークフォレンジックによる証拠保全が重要になます。

インシデントが発生した時の迅速な対応できる

セキュリティインシデント発生時に迅速に対応するためにネットワークフォレンジックが重要な役割を果たします。システムやコンピュータにどのような課題があり、その課題に速やかに対処を行い、二度と同様なインシデントが発生しないために、どのような行動を取るべきなのかを考えることが重要です。

特に個人情報などの漏洩は企業の社会的信用を大きく失うことになりますが、その後に迅速で適切な対応を行えば、信用の回復にもつながります。ネットワークフォレンジックにより、迅速なインシデント対応ができることは、ネットワークフォレンジックの大きなメリットの1つです。

内部不正の抑制につながる

企業の情報漏洩の中には、内部犯行によるものが少なくありません。ネットワークフォレンジックは外部からのサイバー攻撃だけでなく、内部犯行による不正にも効果があります。ネットワークフォレンジックを導入することで、実際に不正行為が発生した場合の証拠保全ができるだけでなく、内部犯行の抑止力としても機能します。

ネットワークフォレンジックのデメリット

ネットワークフォレンジックのデメリットとして、保存したパケットを保存するために、膨大なストレージコストが必要になる点があげられます。

またデータを保存するだけでは、必要な時に必要な通信データを検索するだけでも困難です。実際にインシデントに関係するデータが保存されていなければ、ネットワークフォレンジックを導入しても無駄になってしまいます。そのため、最近ではすべてのパケットを保存するのではなく、ファイアウォールなどが検知した脅威に関する通信データのみを保存する、新しいネットワークフォレンジック機器も販売されています。

ネットワークフォレンジックの価格

ネットワークフォレンジックにはパケットキャプチャのための専用の機器を導入することが必要です。専用の機器には、不正侵入の検知や攻撃の監視、企業の内部統制を行うための専用のソフトウェアが搭載されます。機器の価格は、CPUの性能やキャプチャできる通信回線の速度、データを保存するためのストレージ容量によって異なります。

専用の機器を販売している企業はいくつかありますが、実際にネットワークフォレンジックを行うための機器としては、数百万円程度の価格のものが普及しているようです。

ネットワークフォレンジックの注意点

ネットワークフォレンジックはコンピュータフォレンジックやデータベースフォレンジックなどと同様に、デジタルフォレンジックの1つとして分類されます。デジタルフォレンジックは、まずコンピュータフォレンジックから始まりました。コンピュータフォレンジックではパソコンに取り付けられているハードディスクのデータに証拠能力を持たせ、データの保全や分析を行うことで、法廷に提出するデータとして利用することを目的としています。

しかし最近ではコンピュータやシステムのクラウド化にともない、ネットワーク上のデータを必要する機会が増えてきています。コンピュータに保存されているデータは、どのようなネットワーク上の経路をいつ通過して保存されたのかなど、コンピュータフォレンジックだけでなく、ネットワークフォレンジックによる分析が必要不可欠になっています。

つまりネットワークフォレンジックは単体で行うのではなく、コンピュータフォレンジックなどの他のデジタルフォレンジックと組み合わせて活用することで、高い効果を発揮するのです。

まとめ

サイバー攻撃を防御するための技術として、ファイアウォールやIPSなどが普及しています。これらを活用することで、ある程度はサイバー攻撃を防ぐことができますが、未知のマルウェアや高度なサイバー攻撃を完全に防ぐことは困難です。

ネットワークフォレンジックは、外部からの攻撃だけでなく、内部不正に対しても、インシデントが実際に発生した時に有効に機能します。つまりネットワークフォレンジックはファイアウォールやIPSによるセキュリティ対策を補完するものとして活用することが重要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?