ネットワーク内を流れるパケットデータをキャプチャし、中からインシデントの原因、被害状況、不正行為を解明する「ネットワークフォレンジック」。

日本ではまだまだ聞き慣れない用語ですが、「不正侵入の経路」「漏えいの疑われるデータ」「悪意あるユーザーが利用した脆弱性」などを迅速に特定することができることから注目を集めています。

この記事では、ネットワークフォレンジック調査の概要、メリット、フォレンジック企業の選び方、調査の活用事例について解説しています。ぜひ参考にしてください。

ネットワークフォレンジックとは

個人情報の漏えい・データ持ち出しなどインシデントが疑われる場合や、セキュリティの脆弱性を特定する場合においては「デジタルフォレンジック」という手法を活用する必要があります。

デジタルフォレンジックとは、デジタル機器やネットワーク上に残されたデータを解析して「いつ」「誰が」「どこへ」「どのように」「どのような」情報をやり取りしていたのかを特定し、インシデントの原因や経緯を解明する調査手法です。

特にネットワーク上でやり取りされる情報から、メールやデータの送受信、サイト閲覧履歴などを取得し、不正行為や不正アクセスの証拠を確保する調査手法を「ネットワークフォレンジック」と呼び、この手法を用いることで、サイバー攻撃の被害状況確認や、情報漏えいの経路などの究明を迅速に行うことができます。

ネットワークフォレンジックは、なぜ必要なのか

ネットワークフォレンジックは、サイバー攻撃やインシデントの被害を最小限に抑えるために不可欠です。

従来のセキュリティ対策は、サイバー攻撃を未然に防ぐことを目的としていましたが、近年のサイバー攻撃は巧妙化しており、完全な防御は困難です。そのため、サイバー攻撃が発生した後でも、被害を最小限に抑えるために、ネットワークフォレンジックが重要視されるようになりました。

例えば、セキュリティ上のインシデントが発生した場合、ネットワークフォレンジックを行うことで、侵入経路を特定し、漏えいしたデータの詳細を含めた被害実態を理解することができます。また、これにより再発防止策を講じることも可能です。

注意しておきたいことは、自力で調査しようとして不用意な操作を行うと、重要なデータを上書きしてしまう恐れがあることです。一方、ネットワークフォレンジックでは適切な証拠保全を施すことで、不用意な操作による証拠の破壊を防ぐことができます。

ネットワークフォレンジックは、ネットワーク上のログやデータ（パケット）が調査対象となっている

インシデント発生時、初期化やバックアップからの復旧だけでは不十分

マルウェアやランサムウェア感染などのインシデントが発生した場合、感染経路や被害状況を特定せず、初期化やバックアップからの復旧だけでは不十分です。

理由としては、攻撃者が利用した脆弱性や侵入経路が特定されず、適切な対策が講じられない場合、再び攻撃を受けるリスクがあるからです。

インシデント発生時、組織は被害範囲や影響を調査・報告し、対応策を構築するためにも、フォレンジック調査の専門家と提携することをおすすめします。

ネットワークフォレンジックが必要な理由・メリット

ネットワークフォレンジックは、インシデント対応において以下のメリットをもたらします。

• インシデント発生時、被害を最小限に抑えるため
• 侵入経路やセキュリティホールを把握するため
• 内部不正の抑制につながるため
• コンプライアンス対応ができるため
• 企業・組織は個人情報の漏えい等が発生した場合、専門的な調査が必要になるため

ここではその理由を詳しく説明します。

インシデント発生時、被害を最小限に抑えることができる

ネットワークフォレンジックでは、トラフィックを詳細に監視し、異常なアクティビティや攻撃を検出することで、脆弱性のあるサーバーやアプリケーション、未更新のソフトウェア、脆弱なパスワードなど、攻撃の発生箇所を特定します。その結果、不正なトラフィックや侵入をブロックすることで被害が広がるのを防ぐことにつながります。

内部不正の抑制につながるため

内部不正行為は、従業員や関連するユーザーによるものであることが多いです。ネットワークフォレンジックでは、特定のユーザーによる不正な活動を検出します。例えば、特定の従業員が通常の業務範囲外でファイルにアクセスしようとする場合などです。インシデント時、このような調査をおこなうことを事前に社員共有しておくことで。内部不正の抑制につながります。

侵入経路やセキュリティホールを把握するため

ネットワークフォレンジックは、攻撃の手法やパターンを分析し、攻撃者の行動を理解するのに役立ちます。

例えば、攻撃者が脆弱性を利用して侵入した可能性がある場合、ネットワークフォレンジックでログファイルを分析し、不正な挙動を特定することで、侵入の手法を特定します。調査対象のログには攻撃者が行った操作や、ログイン試行回数などが記録されているため、このような情報を調査することで侵入手口を具体的に理解し、脆弱性を修正する措置を講じることができます。

コンプライアンス対応ができるため

データ漏えいやサイバー攻撃が発生した場合、企業はコンプライアンスを遵守するために、事実関係を調査する必要があります。

そこで活用できるのが、フォレンジック調査会社が作成する報告書です。

フォレンジック調査会社が作成した報告書は、第三者機関によって正確な調査が行われていること証明できます。また、これはデータの改ざんや削除がないことを客観的に確認できる証拠となり、法的に正しい手続きを踏んだ報告資料として、警察や裁判所など法執行機関、あるいは行政機関や第三者委員会などにも提出することが可能です。

企業・組織は個人情報の漏えい等が発生した場合、専門的な調査が必要になるため

法人は個人情報（氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード番号・パスワードなど）の取り扱いに関して厳格な管理を求められています。

2022年に施行された「改正個人情報保護法」では、下記に当てはまる個人情報が漏えいした場合、個人情報保護委員会への報告・本人への通知が義務づけられました。

• 不正アクセスが疑われる情報漏えいのおそれがある場合
• 1,000人以上の個人情報が流出する（した）おそれがある場合
• 要配慮個人情報（疾病歴や健康診断結果など）が1件でも漏えいした場合

また不適切な個人情報の取り扱いに対する罰金は、最高1億円へ引き上げられました。

＞情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら

要するに、企業の情報漏えいは信用の失墜だけでなく、金銭的なペナルティや業務停止のリスクがあるため、インシデントが発生した際にはすぐに個人情報保護員会まで報告を行い、原因や被害状況の調査を依頼するようにしましょう。

この点においてネットワークフォレンジックは、法的な証拠能力を持つ正式な資料の作成が可能で、被害全容の評価を効率的に行うことができます。

マルウェア・ランサムウェア感染や情報漏えいにはフォレンジック調査がおすすめ

情報漏えいが発生した場合、個人情報保護委員会への報告が必要です。しかし、デジタルデータは改ざんや削除が容易なため、一般的な方法では証拠として機能しません。

このような場合、ネットワークフォレンジックが有効です。

ネットワークフォレンジックでは、データの改ざんや削除がないことを証明したうえで、端末やネットワークのログ、電子メールの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。また、意図的に削除されたデータを復旧させることも可能です。

社内不正の証拠が隠滅された場合でも、早期に対応すれば復元できる可能性が高いです。データの改ざんや隠滅が疑われる場合は、高いデータ復旧技術を兼ね備えたフォレンジック調査会社に速やかに相談しましょう。

信頼できるフォレンジック調査専門会社を選ぶポイント

マルウェア・ランサムウェアなどに感染、不正アクセス、サイバー攻撃を受けた疑いがある場合は、感染経路や影響範囲を特定するために信頼できる調査機関でのフォレンジック調査を行いましょう。

信頼できるフォレンジック調査専門会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• スピード対応している
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記の6つのポイントから厳選したおすすめランキング１位の調査会社は、デジタルデータフォレンジックです。

ネットワークフォレンジックの活用事例

ここではネットワークフォレンジックの活用事例についてご紹介します。

• 情報漏えいやマルウェア感染の経路
• 社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
• 電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
• ファイアウォールなどに記録されているセキュリティログの確認

情報漏えいやマルウェア感染の経路

ネットワークフォレンジックは、情報漏えいやマルウェア感染の原因を特定するために活用されます。

例えば、不正アクセスによって機密情報が外部に流出した場合、不正アクセスの経路や、機密情報の流出経路を特定することができます。

社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡

ネットワークフォレンジックは、社内サーバーやネットワークへのハッキングや不正アクセスの痕跡を調査するためにも活用されます。

例えば、不正アクセスによってサーバーに侵入された場合、ネットワークフォレンジックによって、攻撃者が行った操作や、侵入に使用したツールなどの痕跡を特定することができます。

電子メールの送受信やWEBの閲覧などのインターネット通信の履歴

ネットワークフォレンジックは、電子メールの送受信やWEBの閲覧などのインターネット通信の履歴を調査するためにも活用されます。

例えば、従業員が社内情報を不正に持ち出した疑いがある場合、ネットワークフォレンジックによって、外部サーバーやドメインとの通信、従業員の電子メール、WEB閲覧履歴を調査することで、不正行為の証拠を収集・保全することができます。

ファイアウォールなどに記録されているセキュリティログの確認

ネットワークフォレンジックは、ファイアウォールなどに記録されているセキュリティログの確認にも活用されます。例えば、DDoS攻撃を受けた場合、ネットワークフォレンジックによって、DDoS攻撃の発生時刻や対象、攻撃元などの情報を特定することができます。

このように、ネットワークフォレンジックは、情報セキュリティインシデントの調査や、内部不正の防止など、さまざまな場面で活用されています。

ネットワークフォレンジックの流れ

ネットワークフォレンジックの流れは、以下の5つのステップに分けられます。

1. データ収集
2. データ保存
3. データ分析
4. マルウェア分析
5. 調査報告書の作成

1. データ収集

まずは、ネットワーク上で発生したイベントや通信データを収集します。収集するデータには、以下のようなものがあります。

• パケットキャプチャデータ：ネットワーク上でやり取りされたパケットのデータ
• ログデータ：ネットワーク機器やアプリケーションが記録したログデータ
• システム構成データ：ネットワークの構成情報や設定データ

2. データ保存

収集したデータは、改ざんや消去を防ぐために、適切な方法で保存します。データの保存方法には、以下のようなものがあります。

• 暗号化：データの改ざんや盗難を防止するために、データを暗号化して保存する
• タイムスタンプ：データの取得時刻を記録して、データの信頼性を高める
• 整合性チェック：データの整合性をチェックすることで、データの改ざんを検出する

3. データ分析

保存したデータを分析して、セキュリティインシデントの原因や被害状況を解明します。分析には、以下の手法が用いられます。

• パケット解析：パケットキャプチャデータから、ネットワーク上で発生した通信を分析する
• ログ解析：ログデータから、セキュリティインシデントの発生時刻や原因を分析する
• システム構成解析：システム構成データから、ネットワークの脆弱性を分析する

4. マルウェア分析

セキュリティインシデントの原因がマルウェアである場合、マルウェアを分析して、マルウェアの特徴や動作を解明します。マルウェア分析には、以下の手法が用いられます。

• 静的解析：マルウェアのソースコードやバイナリコードを解析する
• 動的解析：マルウェアを実行させて、その動作を解析する

5. 調査報告書の作成

調査結果をまとめた調査報告書を作成します。調査報告書には、以下の内容が記載されます。

• インシデント概要
• インシデントの原因
• インシデントの被害状況
• インシデントの対策

ネットワークフォレンジックの方法

ネットワークフォレンジックを行うには、大きく分けて2つの方法があります。

• ツールを購入する
• フォレンジック業者に依頼する

ツールを購入する

ネットワークフォレンジックを自社内で行うにはパケットキャプチャを行う専用機器が必要です。

機器の価格は、CPUの性能やキャプチャ可能な通信回線の速度、データを保存するためのストレージ容量などによって異なります。なお、専用の機器を販売している企業はいくつかありますが、実際にネットワークフォレンジックを行うための機器としては、数百万円程度の価格のものが多く、素人では扱えないため、自社のみでネットワークフォレンジックを行うのは、現実的ではありません。

フォレンジック業者に依頼する

ネットワークフォレンジックを効率的かつ正確に行う方法として、高度なリテラシー技術と豊富な経験を持つ「フォレンジック専門業者」に依頼することがおすすめです。

フォレンジック専門業者に依頼することには、以下のようなメリットがあります。

• 専門的な知識と技術を駆使して、迅速かつ正確に調査を実施できる
• それぞれのシチュエーションに見合った適切な対応をとることができる
• 法的な証拠を適切に保全することができる

例えば、ある企業ではランサムウェアに感染した際、フォレンジック専門業者に依頼することで、以下の対応をとることができます。

• 迅速かつ正確な初動対応のアドバイスをもらい、被害拡大の防止に役立てられる
• ランサムウェアの種類や侵入経路を特定する
• 感染した機器から情報漏えいの有無を特定する

フォレンジック専門業者に依頼することで、インシデントの原因を早期に特定し、被害を最小限に抑えることができます。

また、ネットワークフォレンジック以外にも、特定の端末を詳細に調査するコンピュータフォレンジック、短時間で適切かつ迅速な初動対応が行えるファストフォレンジックを行うことも、非常に有効な手段です。

正式な報告書作成のためにはフォレンジック調査会社への依頼を推奨

個人情報の漏えいが発覚した場合、詳細な調査報告書の作成が必要となります。

しかし、自社調査は証拠能力不十分の可能性があるため、第三者機関の協力が重要です。

この場合、フォレンジック調査の専門会社（第三者機関）に調査を依頼することで、エンジニアが証拠を収集し、法的にも証拠能力を持つ報告書を得ることができます。またフォレンジック調査会社の調査結果は法的にも認められた証拠力を持ち、法的機関へのインシデント報告はもちろん、訴訟や紛争解決に重要な役割を果たします。

ただし、会社によって調査能力やスピード、料金に差があり、対応範囲も異なります。

情報漏えいの発覚時には、技術力のあるフォレンジック調査会社に調査を依頼し、信頼性の高い結果を得ることが重要です。

おすすめフォレンジック調査会社

フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• スピード対応している
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

ネットワークフォレンジックにかかる期間

ネットワークフォレンジックにかかる期間は、一般的に数日から数週間程度ですが、調査機器の台数、インシデントの規模、そしてデジタルフォレンジックを行うエンジニアのノウハウや経験などによって大きく異なります。

特に大規模な調査や複雑な調査の場合は、調査にかかる時間が長くなる可能性があります。調査結果の公表期限が決まっている場合は、適切な時間内に調査を終了し、必要な文書や証拠を提出できるよう、調査会社との連携を早めに検討しておきましょう。

ネットワークフォレンジックにかかる費用・相場

フォレンジック調査にかかる費用は、一般的に、機器1台につき数十万円から数百万円程度が相場とされています。

ただし、フォレンジック調査会社によっても価格設定は異なるほか、データ復旧やハードウェア復旧などの特別な要件がある場合は、追加費用が発生することも考えられます。

そのため、フォレンジック調査を検討する場合は、まずは信頼性のあるフォレンジック調査会社に相談し、詳細な見積もりを取ることが非常に重要です。調査の範囲や必要なサービスに応じて、費用がどの程度になるのかを明確に把握し、予算を立てることがマストとなります。

まとめ

セキュリティ対策は防御だけでなく、インシデントが発生した場合の対応も含めて包括的に考える必要があります。

例えばファイアウォールやIPS（侵入検知・防御システム）などのセキュリティ技術は、一定のサイバー攻撃を防ぐのに役立ちますが、未知のマルウェアや高度な攻撃に対して完全な防御は難しいとされています。一方、ネットワークフォレンジックは、外部からの攻撃だけでなく、内部不正行為にも対応でき、実際のインシデントが発生した際に有効な役割を果たす。

つまり、ネットワークフォレンジックは、ファイアウォールなどのセキュリティ対策を補完する重要な技術といえるでしょう。