サイバーフォレンジックとは？

企業も個人もテクノロジーに大きく依存する中、サイバー犯罪が急増しています。しかし、サイバー犯罪を立証するのは容易ではありません。

多くの場合、サイバー犯罪の重要な証拠は、コンピューターやモバイルデバイスといった電子機器の中に存在します。そのため、サイバー犯罪と戦って正義を勝ち取るには、デジタル証拠の収集が重要になります。そこで登場するのが、サイバーフォレンジックです。サイバーフォレンジックは、サイバーセキュリティにおける重要な分野であり、これにはデジタル証拠の特定、保持、分析、提出が含まれます。

この記事では、サイバーフォレンジックの目的、フォレンジックの各フェーズ、課題、そして監査との大きな違いなど、サイバーフォレンジックの基本について取り上げます。

サイバーフォレンジックとは？

サイバーフォレンジックとは、情報を抽出し、データを分析して、インテリジェンスを取得する調査のことです。このデータは、特定の行動に関する体系的な証拠として裁判所に提出できます。

コンピューターフォレンジックの名でも知られるサイバーフォレンジックが、正式な学問分野として初めて注目されたのは、1980年代のことでした。パーソナルコンピューターのブームが起こり、犯罪活動の場がデジタル世界に移行し始めていた時代であり、従来のフォレンジック技術では新しいデジタルの証拠に対応しきれなくなっていました。こうした背景から、コンピューターフォレンジックが登場しました。

初期のサイバーフォレンジックにおける重要なマイルストーンを以下に示します。

• 1986年：コンピューター詐欺・不正利用防止法(CFAA)が制定
• 1989年：国際コンピューター犯罪捜査専門家協会(IACIS)が設立
• 1992年：コンピューター分析対応チーム(CART)が正式に発足
• 1995年：コンピューター証拠に関する国際機関(IOCE)が設立
• 2000年：地域コンピューターフォレンジック研究所(RCFL)が設立

その後も、サイバーフォレンジックは進展を続けてきました。

サイバーフォレンジックは、法令遵守にとって重要であるだけでなく、監査ポリシーを適用して情報の完全性を維持するためにも欠かせません。さらに、一連の行動の関連性を明らかにし、その行動が犯罪行為に関係しているかどうかを探る上で、大きな役割を果たしています。

(フォレンジックはインシデント調査と密接に関連していることが少なくありませんが、インシデント調査の場合は、フォレンジック調査のような緻密な調査は必要ありません。)

通常、サイバーフォレンジックでは、以下のような重要な情報を明らかにします。

• 特定の行動に関与した可能性のあるユーザー
• 実行または許可された、あるいは該当のユーザーに関連する一連の行動についての詳細
• 情報ログとメタデータの詳細(時間、ファイルタイプ、サイズ、データ量など)
• 音声、動画、テキストファイルなどの情報コンテンツ
• 関係するテクノロジー

サイバーフォレンジックの仕組み

サイバーフォレンジックでは、標準的なデータ収集プロセスよりもはるかに専門的な作業が必要になります。なぜなら、法的に要求される情報がすぐに得られるとは限らないためです。具体的には、取得したデータインサイトと、該当のユーザーやそのユーザーの行動とを結び付けるためには、復元と再現、認証と検証、そして分析を行う必要があります。

また、基本的なデータ記録が存在する場合でも、情報セキュリティのエキスパートがインサイトを抽出し、所定の書式の調査レポートとしてまとめるには、上級管理職や外部監査人からの指示、または裁判所の召喚状による命令などを通じて、追加のアクセス許可を得ることが必要になる可能性があります。

サイバーフォレンジック調査の各フェーズ

通常、サイバーフォレンジックでは、情報の抽出から所定の証拠レポートの作成まで、以下の決められた手順に従います。

1. 特定：フォレンジックの目的に照らして、どのような証拠が必要になるのかを判断します。
2. 保持：抽出された証拠の完全性と安全性を維持する方法を決定します。
3. 分析：情報から得られる(または得られない)インサイトを把握します。
4. 文書化：データを作成および復元し、一連の行動を記述します。
5. 提出：結論を導くために抽出されたインサイトを、所定の書式でまとめて提出します。

調査担当者は、サイバーフォレンジックプロセスのあらゆるフェーズで所定の手順に従い、調査中に見つかった情報の包括性、客観性、真正性、完全性を確保する必要があります。

関連記事：デジタルフォレンジックとは？(英語)

サイバーフォレンジックと監査：サイバープロセスの比較

サイバーフォレンジックは監査と同じように思われるかもしれませんが、標準的な監査プロセスとサイバーフォレンジック調査との間には明らかな違いがあります。

定義

監査とは、情報の正確性を検証するプロセスです。一方、サイバーフォレンジックは、はるかに詳細なプロセスであり、ユーザーの行動やシステムの処理の証拠として確実に使用できる情報を抽出するものです。

目的

• 監査の目的は、情報の記録と保存の方法に関して、運用上のコンプライアンスを確保することに限られます。
• サイバーフォレンジックの目的は、情報から知識を導き出し、一連の行動やイベントを再現することです。

対象範囲

監査は、リスク軽減の活動と事前に定義された監査手順を対象としており、以下の制限があります。

• 時間
• 組織の役割

サイバーフォレンジックは包括的な調査プロセスであり、これにはデータの取得・分析・文書化、分析結果と知識の抽出、そして所定の書式の報告書の作成と提出が含まれ、すべてが裁判所または組織の方針に従って行われます。

タイミング

監査は、定期的なスケジュールに従って行われる標準的なビジネスプロセスです。

これに対し、サイバーフォレンジック調査は、必要に応じて独立した調査として行われるのが一般的です。通常、以下の場合に、当局からフォレンジック調査を命じられる可能性があります。

• ポリシー違反または不正行為
• 外部の法的調査プロセス
• 規制コンプライアンス
• リスクの軽減
• 適用法に対する責任の軽減

調査方法

監査プロセスは、GAAP (一般に公正妥当と認められた会計原則)などの外部の基準によって規定されます。これには、監査プロセスに向けた情報の収集と、情報の正確性および信頼性の分析が含まれます。

サイバーフォレンジックでは、情報を収集する前に、まず調査の正当性を担保し、その影響を評価し、必要な情報を入手しておく必要があります。

レポートの作成と提出

監査レポートは、所定の書式に従ってまとめられ、関係する意思決定者や経営幹部に配布されます。これに対し、サイバーフォレンジックレポートは、適用される法律と関連する犯罪の性質に従って作成されます。最終報告書には、以下の内容が含まれる可能性があります。

• 証拠の内容
• 詳細な分析から得られた結論

サイバーフォレンジックの課題

サイバーフォレンジックのエキスパートは、さまざまなソースからデータを抽出します。これは、エンドユーザーによって使用された可能性のあるあらゆるテクノロジーが対象になります。たとえば、モバイルデバイス、クラウドコンピューティングサービス、ITネットワーク、ソフトウェアアプリケーションなどです。

これらのテクノロジーは、さまざまなベンダーによって開発され、運用されています。そのため、テクノロジーの制約やプライバシー対策によって、情報セキュリティエキスパートの調査能力が制限される傾向にあります。以下のような課題があります。

• データの復元：データが暗号化されている場合、調査担当者は暗号化キーにアクセスしない限り、情報を復号化できません。SSDデバイスなどの新しいストレージツールでは、従来の磁気テープやハードディスクドライブシステムとは異なり、失われたデータを復元するためにデバイスに直接アクセスすることができない場合があります。
• クラウドシステムの可視性：調査担当者がメタデータにしかアクセスできず、ファイルの内容を確認できないことがあります。また、基礎となるリソースが動的に共有および割り当てられていることがあります。物理ストレージシステムにアクセスできなければ、第三者である調査担当者は、失われたデータを復元できない可能性があります。
• ネットワークログのビッグデータ：ネットワークログのデータは指数関数的に増加するため、点と点を結び付け、さまざまなネットワーク活動の関連性を見つけ出してインサイトを得るには、高度な分析ツールやAIツールが必要になります。
• 複数の法域にまたがるデータストレージ：データが地理的に異なる場所に保存されている場合、サイバーフォレンジックの調査担当者が、必要な情報にアクセスするための法的権限を持っていないことがあります。

サイバーフォレンジックにはさまざまな課題がありますが、その影響を解消できなくても、最小限に抑えるのに役立つリソースがあります。

サイバーセキュリティとフォレンジックのリソース

幸いなことに、サイバーセキュリティとフォレンジックに関する無料のリソースは豊富にあり、企業の取り組みに役立てることができます。以下は、よく使用されているリソースの一覧です。

• SANS Institute
• NIST (米国国立標準技術研究所)
• OWASP (Open Web Application Security Project)
• Cybrary
• EC-Council
• Digital Forensics Framework
• Autopsy
• The Sleuth Kit

サイバーフォレンジックの今後

データプライバシーやデータ保護に関する法律の施行やコンプライアンス基準の適用が増えるにつれて、サイバーフォレンジックの必要性は高まる可能性があります。

たとえば、企業がサイバー攻撃者に対して法的措置を講じようとする場合、誰が攻撃を仕掛けたのか、どのような手順を踏んだのか、どのような影響や損害があったのかなどを立証するには、サイバーフォレンジックが必要になります。

このブログはこちらの英語ブログの翻訳です。