2022年4月に行われた個人情報保護法の改正により、企業の「情報漏えいインシデント対応」が義務化されました。
これにより、個人データの漏えいが発生、あるいは発生する可能性が生じた場合に報告と通知が義務付けられ、違反した企業には最大1億円以下の罰金が科せられます。
万が一、こういったインシデント(事故・事象)が起こった場合は速やかに事実確認を行う必要がありますが、その際に利用したいのが「フォレンジック調査」です。
この記事では、フォレンジック調査とは何か、なぜ現代の企業にとって必要なのか、調査はどのような流れで行われるのか?といった点を、詳しく解説します。
情報化社会におけるリスク対策として、ぜひ理解しておきましょう。
メジャーなセキュリティソフトの中で、最も多機能なノートン 360。
中でも、以下の2つの機能に注目が集まっています。
- セキュアVPN
- ダークウェブモニタリング
ノートン 360(デラックス・プレミアム)なら、上記の機能が無料で利用できます。+αのセキュリティ対策を実現したい方は、ぜひノートン 360をチェックしてみてください。
フォレンジック調査とは?
フォレンジック調査とは、「コンピューターシステムやデジタルデバイス、ネットワークなどで発生したセキュリティインシデントや不正アクセス、データ漏えいなどの事件・事故に関して、科学的かつ法的に受け入れられる方法でデータを分析し、証拠を収集・解析するプロセス」のことです。
もともとは。犯罪捜査における「分析」「鑑識」「法医学」という意味で使用されてきました。IT分野において、同様の意味合いで使用されているということですね。
発生したインシデントの原因を解明することで犯罪捜査や法的対応をサポートし、将来同様の事件を防ぐ手がかりを提供します。
フォレンジックの活用事例
デジタルフォレンジックが行われるのは、以下のようなシチュエーションです。
- 企業のデータ漏えい事件
- サイバー攻撃の調査
- 不正アクセス事件
- 個人間の訴訟
- インターネット上の犯罪
企業のデータ漏えい事件
企業内で重要な情報(例: 顧客の個人情報、企業秘密)が外部に漏れてしまった際、「どの情報が漏れたか、どのようにして情報が漏れたか、誰が関与していたか」を調べ、証拠を収集します。
サイバー攻撃の調査
企業や個人がハッキングやウイルス攻撃の被害を受けた際、「攻撃の手口や攻撃者が誰であるか」を突き止めるための調査を行います。その結果から、同様の攻撃を防ぐための対策につなげます。
不正アクセス事件
サービスやシステムに対して不正なアクセスがあった場合、「そのアクセスがどこから来たのか、不正アクセスによって何がされたのか」を解明します。
個人間の訴訟
離婚や遺産関連の訴訟などで、スマートフォンやパソコン内のメールやメッセージ、写真などが証拠として必要になる場合、合法的な方法でデータを抽出し、訴訟をサポートします。
インターネット上の犯罪
オンライン上での詐欺やサイバー犯罪が発生した場合、犯人を見つける手がかりや、どのような手法で犯罪が行われたかを調査します。
フォレンジック調査はなぜ必要なのか
サイバー攻撃などの脅威から企業を守るためのフォレンジック調査は、以下のような観点からその必要性が年々高まっています。
- 真実を解明するため
- 法的証拠を提供するため
- 未来の対策と予防のため
- 説明責任を果たすため
- 犯罪者を特定し責任を追及するため
- 企業の評判を守るため
真実を解明するため
フォレンジック調査は、データ漏えいやサイバー攻撃がどのようにして行われたのか、詳細を解明します。事件やインシデントの詳細を明らかにするためにも、調査が必要です。
法的証拠を提供するため
フォレンジック調査で得られた調査結果は、裁判の際の証拠にもなりえます。 法的な争いや裁判の際に、電子データが不正利用されたか、改ざんされたかといったデータは非常に重要です。
未来の対策と予防のため
過去のインシデントを詳細に分析することで、同様の攻撃や問題が将来起きないように、対策を立てる手助けとなります。
説明責任を果たすため
企業は、顧客やパートナーに対して、データを安全に管理していることを証明しなければなりません。問題が発生した場合に正確かつ透明な情報を提供することは、説明責任を果たすことにつながります。
犯罪者を特定し責任を追及するため
調査を通して、不正アクセスやデータ漏えいを行った犯人を特定し、法的な手段での責任追及が可能です。これは、他の潜在的な犯罪者に対しても抑止効果があります。
企業の評判を守るため
企業が事件や問題を迅速かつ適切に対処する様子を見せることで、顧客との信頼を保つ手助けになります。
フォレンジック調査が必要なケース
危機管理の一環として重要度の高いフォレンジック調査ですが、実際に調査が行われるのは、以下4つのシチュエーションです。
- 情報漏えいしたとき
- 知的財産が窃取されたとき
- 従業員が社内不正をしている疑いがあるとき
- データ復旧が必要なとき
情報漏えいしたとき
2022年4月に企業の「情報漏えいインシデント対応」が義務化されたように、情報漏えいに対する対応はよりシビアなものが求められています。
万が一情報漏えいした際は、まずフォレンジック調査を通じて「どのデータが漏れたのか、どのように漏れたのか」を特定。次に、漏洩による損害の規模と影響を評価し、これを基に対応策を考えます。
続いて、法的な報告義務を果たし、関係者への情報提供を適切に行うことが、企業の評判を守るために必要です。そして、同様の情報漏洩を防ぐため、新しいセキュリティポリシーやシステムを導入します。
知的財産が窃取されたとき
会社の知的財産が盗まれた際の対応にも、フォレンジック調査が重要な役割を果たします。
まずは、どの知的財産がどのように盗まれたのかを正確に解析し、脆弱性を把握。必要に応じて窃取行為を行った者を特定し、法的手段を講じることも考えます。
今後、同様の窃取を防ぐため、セキュリティ対策の強化も必須です。
従業員が社内不正をしている疑いがあるとき
従業員に不審な動きがみられる際も、フォレンジック調査を検討するタイミングです。
該当する従業員のデジタルな活動を合法的な範囲でモニタリングし、不正行為があった場合は、それを証明する証拠を集めます。
得られた証拠を基に、内部対応策(警告、解雇など)を検討してください。同様の社内不正を未然に防ぐために、ルールやポリシーを見直すきっかけにもしてください。
データ復旧が必要なとき
データが削除された、もしくは破損した場合も、フォレンジック調査は役立ちます。
可能な限りデータを復元し、復元したデータが正確で信頼性があるかを確認。関連する問題や状況を分析のうえ、報告書を作成してもらえます。
データを再び損失しないよう、バックアップシステムやプロセスを見直しと最適化の提案を受けられる点も、フォレンジック調査のメリットです。
フォレンジック調査の種類
ひと口にフォレンジック調査と言っても、その手法はさまざま。
大きく、以下4つの種類に分類可能です。
- メモリーフォレンジック
- モバイルフォレンジック
- ネットワークフォレンジック
- ファストフォレンジック
メモリーフォレンジック
メモリーフォレンジックとは、パソコンなどのデバイスに挿入されたRAM(ランダムアクセスメモリ)を解析する技術です。
RAMの役割は、デバイスが動作している間、一時的な情報(プロセス、実行中のプログラム、開かれているファイルなど)を保持すること。
メモリーフォレンジックは、不正なアクセス、マルウェアの動作、情報漏洩の原因などを把握するため、この一時的な情報を解析するのです。
メモリーフォレンジックの活用シーンとしては、サイバー攻撃や情報漏洩事件に際して、攻撃手法や漏洩原因の解明などが挙げられます。
モバイルフォレンジック
モバイルフォレンジックとは、スマートフォンやタブレットなどのモバイルデバイスを対象にしたデータ解析です。
モバイルデバイスのストレージからデータを抽出し、解析を行い、通話記録、メッセージ、位置情報、アプリケーションデータなどを調査します。
モバイルフォレンジックの活用シーンは、 犯罪や事故調査で重要な情報や証拠がモバイルデバイスに残っている場合などです。
ネットワークフォレンジック
ネットワークフォレンジックとは、ネットワークトラフィックや通信データを対象にした調査技術です。
ネットワーク通信(インターネットトラフィック、メール、インスタントメッセージなど)をモニタリング、キャプチャし、分析を行い、異常なパターンや不正アクセスを検出します。
ネットワークフォレンジックの活用シーンは、サイバー攻撃、内部不正、通信データ漏洩など、ネットワークを通じたインシデントの解析が必要な場面となります。
ファストフォレンジック
ファストフォレンジックは、非常に迅速なレスポンスを要する状況下で実施されるデータ解析です。
高度な自動化技術やAIを利用して迅速にデータを解析し、インシデントの概要をすばやく把握。初動対応を実施します。時と場合によっては、生データから即座に重要な情報を抽出することもあります。
ファストフォレンジック活用シーンは、ランサムウェア攻撃や大規模なデータ漏洩が発生した際など。迅速な対応や情報提供が必要な場合に利用されます。
フォレンジック調査に必要な知識
フォレンジック調査を実施するには、当然ながら専門的な知識が必要です。代表的なものとして、以下の3点について解説いたします。
- コンピューターやネットワークの知識
- 法的手続きにおける知識
- セキュリティにおける知識
コンピューターやネットワークの知識
フォレンジック調査を行うには、大前提としてコンピューターシステムやネットワークのアーキテクチャ、動作メカニズム、プロトコルなどについての理解が不可欠です。
また、Windows, Linux, macOSといった異なるOSの構造と動作を理解し、それぞれのファイルシステムやログメカニズムを把握する必要もあります。
それに加え、データ復元が必要な状況においては削除されたデータやダメージを受けたデータのリカバリ方法、ネットワーク分析が必要な状況においてはネットワークトラフィックを解析して異常な通信や攻撃を検出できるスキルなど、状況に応じた高度なコンピュータースキルが必要です。
法的手続きにおける知識
フォレンジック調査は法的手続きとセットで行われるケースが多いため、法律に関する知識も求められます。
データプライバシー法や関連する業界基準、規制についての知識といった法的コンプライアンスはもちろん、データの完全性と信憑性を保ち、法的な価値を保持するための手法とプロセスも身に着けておく必要があります。
また、調査過程や結果を正確かつ透明な方法で情報開示するスキルや、個人のプライバシーを尊重し合法的な範囲内で調査を進めるための倫理的な判断も求められます。
セキュリティにおける知識
フォレンジック調査を行うからには、サイバー環境にどんな脅威が存在し、それぞれの脅威がどのような特性を持っているのかという点を理解していなければなりません。
具体的には、マルウェア、ランサムウェア、フォレンジックイメージング(物理的なストレージデバイスをビット単位、セクター単位でコピーする技術)などです。
そのうえで、万が一インシデントが発生した場合に迅速な対応策を打ち出し、更なる被害を防ぐための措置を提案できるだけの能力が求められます。
状況に応じて、セキュリティに関連する様々なツールやソフトウェア(アンチウイルス、ファイアウォール、IPS/IDSなど)を使い分ける知見も必要です。
フォレンジック調査会社を選ぶ際のポイント
実際にフォレンジック調査を依頼する際は、上記でご紹介したような知見やスキルを有したフォレンジック調査会社を選ぶ必要があります。
とはいえ、外からの情報だけではどんな会社を選べば良いか迷ってしまいますよね。
そんなときは、以下の6点に注目すると良いでしょう。
- 実績
- セキュリティ体制
- スピード
- 技術力
- コミュニケーション力
- 法的な理解
実績
信頼できるフォレンジック調査会社は、公式HPで調査実績の一部を公開しています。
過去の成功事例や解決策は、その会社が対処できる課題のタイプや規模を示す貴重な判断材料です。
また、さまざまなシチュエーションや課題に対処した経験が多いということは、目の前に生じた新しい課題に適切に対応できる可能性が高いということでもあり、安心感につながります。
セキュリティ体制
フォレンジック調査で取り扱う情報は、クライアント企業にとって非常に秘匿性の高い機密情報です。
そのため、そういった情報を安全に取り扱う体制が整っているか?という点は、極めて重要です。
また、調査プロセス自体もセキュア(安全・安心)であることは、追加的なリスク回避にもつながります。
スピード
迅速な対応が可能か?という点も、調査会社を選ぶうえで重要なポイントです。サイバーインシデントは時間との戦いであり、速やかな初動が被害の拡大を防ぎます。
技術力
ここまでご紹介してきたように、フォレンジック調査は専門的な知識とスキルを必要とします。そのため、最新の技術や調査メソッドを有しているか否かは、調査を成功させるうえで重要なポイントです。
同様に、フォレンジック調査ツールやソフトウェアに精通しているか否かという点も、調査の質とスピードに大きく影響します。
コミュニケーション力
調査の報告が明瞭であり、専門的な調査結果をクライアントが理解しやすい形で報告できるかどうかという点は、インシデント後の対応や今後の方針形成において重要です。
また、インシデント対応中は定期的に調査会社と連絡を取り合うことになります。クライアント企業の不安を和らげ、必要な情報をタイムリーに提供できるスキルも、パートナーとしての大切な役割です。
法的な理解
信頼できる調査会社であれば問題ありませんが、データ取り扱いや調査プロセスが法的に適切であることを、念のため事前に確認しておきましょう。
法的な問題が発生した際に法的なアドバイスやサポートを受けられるか?という点も、ポイントとなります。
おすすめのフォレンジック調査会社
フォレンジック調査を依頼するなら、デジタルデータソリューション株式会社がおすすめです。
サイバー攻撃やマルウェア感染調査、情報漏えいの調査などに定評のある専門業者で、過去の相談件数は3.2万件以上。全国の捜査機関にも捜査協力を行うなど、豊富な実績があります。
「ハッキング調査」「社内不正調査」などインシデントごとに専門チームが対応し、またセールスとエンジニアが密に連携することでスピード解決を可能にしています。
24時間365日、無料相談を受け付けていますので、インシデントが発生した際は相談してみてください。もちろん、公的機関に提出可能な作業報告書(調査レポート)も作成してくれます。
フォレンジック調査の流れ
フォレンジック調査を依頼する場合の流れは、以下の通りです。
- 証拠保全
- データの復旧・復元
- データの解析・分析
- レポート作成・報告
これらのステップは、一般的なフォレンジック調査の基本的な流れです。調査の特性や依頼者のニーズによっては、追加のステップが含まれる場合もあります。
1.証拠保全
証拠保全は、調査の正確性を保ち、データのオリジナリティと完全性を維持するために行われます。
具体的には、オリジナルのデータを直接触れず、そのコピーを分析。証拠の取り扱い記録(誰が、いつ、どのように扱ったか)を厳格に記録し、証拠の信憑性を保ちます。
2.データの復旧・復元
データの復旧・復元は、損なわれたデータを復元し、完全で正確な解析を可能にします。
データ復元として行われるのは、物理的損傷からのデータのリカバリや、削除・損失したデータの取り戻しといった内容。
システム復元として行われるのは、インシデント前の状態を把握し、システムの動作を可能な限りオリジナルの状態に戻すという内容です。
3.データの解析・分析
復旧・復元したデータを元に、インシデントの原因や状況を把握。イベントの背後にある動機やメカニズムを解析します。
具体的には、インシデントの発生を時間軸に沿って解析し、主要なイベントを把握するためのタイムライン分析、異常な挙動やパターンを特定して攻撃者の手法(TTPs)を把握するための。パターン分析などです。
4.レポート作成・報告
調査が完了すると、クライアント企業や関連する法的機関に報告するためのレポートが作成されます。
調査の過程と結果が具体的な証拠とともに提示されますので、内容を確認しましょう。
一般的に、レポート内では今後のアクションや改善策の提案もなされています。
フォレンジック調査を利用する際の対応
続いては、フォレンジック調査を依頼する際にクライアント企業側が行うべき対応をご紹介します。クライアント側で対応すべき内容は、以下の3点です。
- インシデントの初期対応
- 社外への対応
- 社内への対応
インシデントの初期対応
初期対応として行うべきは、インシデントの特定です。異常な動作や不審なアクティビティについて、迅速かつ正確に特定してください。
続いて、フォレンジック調査会社への依頼を速やかに済ませましょう。
対外・対内コミュニケーションの基本プランを策定するとともに、データのコピーを取り、オリジナルのデータが改ざんされないようにします。
社外への対応
インシデントの内容が「法的に通報が必要」と判断され場合、適切な機関へ通報しましょう。
同時に、メディアや顧客に対するメッセージを用意し、公式な声明を作成します。情報が不足している初期段階では対応を進めていることを適切に伝え、詳細は追って報告すると明示します。
データ漏えいなどが顧客に影響を与える可能性がある場合は、透明性を持って顧客に通知し、今後の対応や保護策を案内します。
社内への対応
社内に対しても、情報の共有は重要です。関係者に対して、インシデントの概要と現状、それに伴う指示を明確に伝えてください。リスクやインシデントの影響を正しく理解させ、社員一人一人が適切な対応をとれるようガイドラインを共有します。
また、インシデント対応チームを結成のうえ役割と責任を明確化し、調整役を設定して連携を強化します。
必要に応じて社員の心理的サポートを提供することも、不安や緊張を和らげるのに役立ちます。
フォレンジック調査を依頼する前に知っておくべきこと
実際に依頼する前に、以下の3点についても理解しておきましょう。適切な調査をサポートし、正確で信頼性のある結果を得るためには、これらの点を考慮に入れることが不可欠です。
- 調査には時間がかかる
- 企業の場合はデータが膨大なためさらに時間がかかる
- 社内でフォレンジックは行わない
調査には時間がかかる
大前提として、フォレンジック調査には時間がかかります。デジタル領域のフォレンジック調査はプロセスが複雑であり、適切な分析を行うためには十分な時間を要するからです。
実際、データの詳細な解析には専門的な技術と慎重な手続きが要求されますし、誤った結論を避けるために複数のチェックも含まれます。
また、すべての可能な角度から問題を理解するため多角的な調査が行われる点も、調査に時間がかかる要因です。
企業の場合はデータが膨大なためさらに時間がかかる
企業は膨大なデータを保有しているため、調査対象となるデータの量も多いです。そのため、フォレンジック調査にかかる時間もより長くなります。
単純に量だけの問題ではなく、様々なフォーマットやシステムからのデータそれぞれに対して、異なるアプローチが必要となる場合も。
さらに、複雑なネットワークやシステム環境が構築されている場合、調査の複雑さはさらに増加します。
社内でフォレンジックは行わない
外部に依頼するのではなく、社内リソースでフォレンジック調査を行うことを検討されることもあるかもしれません。しかし、社内リソースによるフォレンジック調査には、専門的なリスクを伴います。
なぜなら、フォレンジック調査は専門的な技術や知識を要求するため、経験豊富な専門家が必要とされるからです。実際、正しい手法で証拠を保全しないと、法的な価値を持たなくなる可能性があります。
また、社内メンバーが調査を行うことで、中立性が担保できなくなるというリスクもあります。
フォレンジック調査にあたりしてはいけないこと
最後に、フォレンジック調査にあたり「してはいけないこと」についても確認しておきましょう。
自力でデータをコピーする
フォレンジック調査が行われる際はデータの保全を目的にデジタルデータを複製しますが、これはあくまでフォレンジック調査会社が行う行為です。
自力でデータをコピーする行為には、証拠の改ざんリスクや、法的な証拠として認められないリスク、他のデータやシステムに対するセキュリティリスクなどがあります。
調査対象機器の取り扱い
専門の知識を持たない社内の人間が調査対象の機器を扱うことは、避けるべきです。
適切でない取り扱いによって機器が物理的なダメージを受ける可能性がありますし、間違った操作により価値あるデータが失われる可能性も否定できません。
また、調査対象機器を継続して使用することで、証拠となるデータが上書き・削除される可能性もあります。
インシデント発生後は、対象機器をネットワークから切断し、スリープモードで保管するようにしてください。
市販のデータ復旧ソフトを試す
市販のデータ復旧ソフトは、フォレンジック調査に必要なレベルの精度や信頼性を提供していません。あくまで、一般的な範囲の使用にとどめましょう。
信頼性のないツールによる復旧は証拠の妥当性を低下させる可能性がありますし、復旧ツールを使用することで重要なデータを上書きするリスクもあります。
まとめ
サイバーリスクが高まる昨今、いつどんなインシデントが発生するかは誰にも分かりません。
そして、万が一インシデントが発生した場合、どのような対処をするかによって、会社に対する評価も大きく変わってきます。
適切な調査を行うためにも、調査専門会社へ速やかに依頼し問題解決をサポートしてもらいましょう。