ファスト・フォレンジックとは?仕組みや種類、メリット・デメリットなど徹底解説

近年、さまざまな分野で急速にデジタル化が進んでいます。利便性の向上や業務効率化に役立てられていますが、その一方で、サイバー犯罪や情報漏えいなどの危険性も高まったといえるでしょう。そのため、有事の際に「証拠」を保存する技術が必要不可欠であり、デジタル・フォレンジックが活用されてきました。

しかし、技術の進歩によって従来のデジタル・フォレンジックでは対応が難しい場面が多くなり、注目されつつあるものが「ファスト・フォレンジック」です。今回は、ファスト・フォレンジックの概要から、種類やメリット・デメリットについて解説していきます。

ファスト・フォレンジックとは

ファスト・フォレンジックはデジタル・フォレンジックの一種です。Wikipediaから引用すると、デジタル・フォレンジックとは「法科学(フォレンジック・サイエンス)の一分野で、主にコンピュータ犯罪に関連して、デジタルデバイスに記録された情報の回収と分析調査などを行うこと」と定義されています。

ファスト・フォレンジックの定義については、特定非営利活動法人デジタル・フォレンジック研究会の「証拠保全ガイドライン第7版」から引用すると次のとおりです。

早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること

つまり、従来のデジタル・フォレンジックから必要最低限のデータを用いて、迅速に対応することがファスト・フォレンジックといえるでしょう。ファスト・フォレンジックは名前のとおり「ファスト(早く)」情報を収集でき、ツールによっては数分で情報収集が完了します。

ファスト・フォレンジックで収集できる情報

ファスト・フォレンジックが行えるツールはさまざまですが、主に次に挙げるような情報を収集できます。これらの情報を収集し、法的証拠能力が認められるデータ収集を行います。

OS情報
  • パソコン名
  • OSのインストール日付
  • 最後にシャットダウンされた日時
  • プロダクトID
  • OS名
  • レジストリ情報
  • イベントログ など
ファイル情報
  • ファイル名
  • ファイルの種類
  • ファイルサイズ
  • アクセス日時
  • パス名 など
USB接続記録
  • 接続したUSBのタイプ
  • シリアル番号
  • 接続日時 など
その他
  • インターネット履歴(サイトのアクセス履歴)
  • 最近アクセスしたドキュメント
  • メモリのダンプイメージ など

ファスト・フォレンジックの種類

ファスト・フォレンジックと一言でいっても、異なるアプローチ方法によって3つに大別できます。ここでは、ファスト・フォレンジックの種類として、3つのアプローチ方法を一つずつ見ていきましょう。

最小限のデータを取得して解析

デジタル・フォレンジックでは、対象のコンピュータ端末のデータをすべて保全しますが、保全・取得するデータを最小限にすることで、データの取得から解析にかかる時間を短縮することができます。

最小限のデータの対象となるものとしては、Windows OSであればレジストリやイベントログ、メモリのダンプイメージなどが対象です。何らかの事象が発生した際、その痕跡が残っていることが期待されるデータが対象となります。

ただし、迅速に対応できますが取得したデータから有益な情報を得られなかったり、情報が足りなかったりする場合には、再度情報の取得が必要となり、手戻りが発生する可能性があります。

リモート・フォレンジック(ネットワーク経由で直接調査)

リモート・フォレンジックもいくつか種類がありますが、調査対象の端末にあらかじめエージェントソフトなどを導入しておき、有事の際に管理コンソールから直接する方法が最も簡単なケースです。

通常は対象端末に物理的に接続してデータの保全を行いますが、リモート・フォレンジックでは情報の収集をネットワーク経由で行えます。そのため、現場に駆けつける時間の短縮や、リモートで解析・分析の一部も行えるため、迅速な対応が期待できます。

リモート・フォレンジックの場合は、対象端末がネットワーク接続していることが前提となりますが、有事の際にはネットワークから切り離す対応も多いものです。そのため、常にデータ収集が行えるわけではない点には注意が必要となります。

EDR(ネットワーク経由でデータ常時収集)

EDRはEndpoint Detection and Responseの略称であり、システムのエンドポイント(端末)における脅威を継続的に監視・対応する技術・ソリューションの総称です。EDR製品では、「不審挙動の検知」や「ネットワーク隔離機能」とあわせて、「調査機能」が実装されている場合が多く、調査機能をファスト・フォレンジックとして利用できます。

EDRでは継続的かつ自動的にデータが取得されるため、過去にさかのぼった分析ができる点が最大のメリットです。たとえば、特定のプロセスがいつ・どのように動作し、どのファイルにアクセスしたのか、といった分析が可能となります。

EDRを用いたファスト・フォレンジックでは最初にデータを収集する必要がなく、即座に調査を開始できる点が特徴です。EDRを用いたファスト・フォレンジックは、先に紹介した2つのファスト・フォレンジックの欠点を補うことができ、3つのアプローチ方法のなかで最も有効的な方法だといえるでしょう。

ファスト・フォレンジックが生まれた背景

ファスト・フォレンジックについて、そもそもデジタル・フォレンジックですべての情報データを取得すれば良いのではないか、と疑問を持たれる方がいるかもしれません。たしかに、すべての情報データを取得・保全できれば良いのですが、近年の技術進化に伴い、その方法は現実的ではなくなってきているのです。

従来のデジタル・フォレンジックでは、次の2つの課題を抱えていました。

  • フォレンジック対象ストレージの大容量化
  • 対象端末台数の増加

近年では、コンピュータのストレージとして数TB(テラバイト)もの容量を持つものも少なくありません。1TBのハードディスクの保全にはおよそ6時間かかると言われており、その後に調査を開始するため迅速な対応ができないのです。

また、対象端末台数も非常に増加しており、その種類も多種多様となってきました。パソコンなどのコンピュータだけでなく、防犯カメラやドライブレコーダーなどの録画データからの証拠化も必要となります。この2つの課題から、すべての情報データを保全し、調査を行うことが現実的ではなくなってきているというわけですね。

そこで、必要最低限のデータを抽出及びコピーし、解析するファスト・フォレンジックが生まれたのです。

ファスト・フォレンジックのメリット

ファスト・フォレンジックにおけるメリットは、次の2つが挙げられます。それぞれのメリットについて、一つずつ見ていきましょう。

迅速な初動対応

ファスト・フォレンジックの最大のメリットは、迅速な初動対応が可能となる点でしょう。通常、フォレンジックは「収集」「解析」「分析」「報告」の4つのステップで行われます。このなかでも、「収集」「解析」は調査を行うための準備に該当するステップであり、従来のデジタル・フォレンジックでは非常に時間がかかるステップです。

しかし、ファスト・フォレンジックでは必要最低限のデータを抽出するため、これらのステップにかかる時間の短縮化が可能です。EDRを用いたファスト・フォレンジックでは、継続的かつ自動的にデータが収集されており、「収集」「解析」のステップを飛ばして「分析」が行えます。

この点からも、迅速な初動対応が可能な点は、ファスト・フォレンジックの最大のメリットといえるでしょう。

短時間で原因究明できる可能性

従来のデジタル・フォレンジックでは、「ストレージの大容量化」「対象端末台数の増加」といったスケーラビリティ面が課題として取り上げられていました。調査を開始する前の対応が非常に大変であり、原因究明に至るまでの時間も多く必要としていたのです。

ファスト・フォレンジックでは、迅速な初動対応によって短時間で原因究明までできる可能性が高まります。スケーラビリティ面での課題をクリアするためにもファスト・フォレンジックは必要不可欠であり、この点もファスト・フォレンジックのメリットといえます。

ファスト・フォレンジックのデメリット

現代の環境においてファスト・フォレンジックは必要不可欠といえますが、多くのメリットがある反面、デメリットも存在します。ファスト・フォレンジックのデメリットとしては、取得できる情報が限られる、という点です。

必要最低限のデータを抽出するため、有用な情報が対象データに含まれていない場合、再度データの取得が必要となってしまいます。その点は、ファスト・フォレンジックで注意すべき点といえるでしょう。

しかし、近年ではEDRを用いたファスト・フォレンジックが多くなってきており、必要最低限のデータ取得ながら、有用な情報が随時取得できるようになっています。そのため、ファスト・フォレンジックにおけるデメリットは徐々に改善されつつある、といえるでしょう。

まとめ

ファスト・フォレンジックはデジタル・フォレンジックの一種です。「早急な原因究明、侵入経路や不正な挙動を把握するために、必要最低限のデータを抽出及びコピーし、解析すること」と定義されています。

ファスト・フォレンジックでは、OS情報やファイル情報などが取得でき、従来のデジタル・フォレンジックに比べて迅速な対応が行える点が特徴です。ファスト・フォレンジックの種類としては、3つのアプローチ方法が挙げられますが、現在ではEDRを用いたアプローチが最も有効的な方法といえます。

ファスト・フォレンジックは現代の環境にあわせて登場した手法であり、そのなかでもEDRを用いたファスト・フォレンジックは、これからのスタンダードになると考えられます。有事の際に慌てることのないように、EDRの導入によるファスト・フォレンジック対策などを進めておきましょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?