インシデント発生時のコストを最小限に抑えるデータ運用術特集:IoT時代のセキュリティログ活用(3)(1/4 ページ)

内部不正などのセキュリティインシデント発生時に避けて通れないのが、関連データを洗い出し、解析する「フォレンジック」だ。本稿では、万が一に備えた「データ運用術」を現場の“デジタルフォレンジッカー”が指南する。

» 2016年05月23日 05時00分 公開

「デジタルフォレンジック」の実態を知る

 「IoT時代のセキュリティログ活用」と題し、主にログ活用の観点からIoT時代を見据えたサイバーセキュリティ対策を考える本特集。前回は、「SIEM(Security Information Event Management)」の活用方法にフォーカスを当て、ログ管理製品を利用するときのポイントを整理した。

 その中で、ログ活用シーンの1つとして紹介したのが「フォレンジック」だ。特に、有事の際にログなどの電子データを収集・分析する手法は「デジタルフォレンジック」と呼ばれるが、読者の方々はその実態をご存じだろうか? 本稿では、現場でデジタルフォレンジックに携わる専門家が、“何かあったとき”に、コストを最小限に抑えるための平時のデータ運用術を指南する。

何かが起きてからではもう遅い「データ運用」

 近年、企業が持つさまざまなデータの電子化が進み、その量は“爆発的に”増加し続けています。また、膨大な量に達した電子データの保存場所も、個人デバイスから社内外のサーバ(クラウド含む)へと移行してきています。こうしてデータの電子化が進んだ結果、企業における不正や不祥事、あるいは事件、事故といった「インシデント」が発生した際の調査手法として、電子データを収集・解析する「デジタルフォレンジック」が採用される機会が増えています。

 デジタルフォレンジックは、インシデント対応や法的紛争・訴訟に際して、電磁的記録の「証拠保全」および「調査・分析」を行うとともに、電磁的記録の「改ざん」や「毀損(きそん)」の有無について調査する一連の科学的手法・技術を指します。具体的には、PCや各種ネットワーク機器、“携帯電話”などから、専門機器を用いて電子データを複製し、削除されたデータの復元などを行いながら、発生した事象に関する電子的証拠を抽出していきます。

 このようなデジタルフォレンジックを駆使した各種の「不正調査」や、米国、英国などの民事訴訟における「eDiscovery対応(※)」(以下、これらをまとめて「フォレンジック」と称します)においては、社内の共有サーバやクラウドサービスなど(以下、これらをまとめて「オンラインストレージ」と称します)に存在する電子データをいかに管理するかが、「短納期」「低コスト」で合理的な成果を挙げられるかどうかの鍵になります。

※「eDiscovery(eディスカバリー)」とは?

電子証拠開示制度。米国などの民事訴訟では、当局審理の前に訴訟の当事者同士が訴訟に関連する全ての資料を自ら収集し、開示する必要がある。この際、開示された資料が不十分であった場合には多額の制裁金が課される。

 ところが多くの企業では、インシデント発生時の対応までを想定したオンラインストレージ上のデータ管理、運用が行われていません。その結果として、インシデントが起きてしまった後になって、フォレンジックで多額のコストが発生してしまうケースや、緊急対応が求められているにも関わらず必要なデータの取得に時間がかかってしまい、十分なフォレンジックが早期に実施できないというケースが多く見受けられます。

 そこで本稿では、フォレンジックにおける現状の課題と、本格化しつつあるIoT時代を見据えた望ましい「データ運用の在り方」について、現場の“デジタルフォレンジッカー”の視点からお伝えします。

フォレンジックのコストの考え方

 望ましいデータ運用について考えるに当たって、まずはフォレンジックで発生するコスト構造について解説しておきます。フォレンジックの作業は、おおむね以下のような工程で実施されます。

  1. 証拠保全
    PC、サーバ、携帯電話などから専用機器を用いて完全な同一性を担保した状態でデータをコピーする。具体的には、ハッシュ関数を用いてデータの同一性を確認する。
  2. 復元・解析
    削除領域からデータを可能な範囲で復元し、不要なシステムデータなどを排除すると同時に、目的に応じたデータの解析作業を行う。
  3. データベース化
    データを個別のファイルに分解した後、ファイルに付属する情報(メタデータなど)に基づいてデータを分類した上で、電子データを複数人で同時チェックするために用いる「レビュープラットフォーム」にアップロードする。
  4. レビュー
    レビュープラットフォーム上で、対象となるデータの中身をチェックする。

 作業内容によっては2の工程までで結論が得られることもありますが、対象のデータ量が多く、複数の作業者でデータの中身を確認する必要がある場合には、3、4の工程が発生します。このとき、1および3の工程で発生するコストは、作業対象となる機器の数と取得データの容量に比例します(2016年時点では、PCの証拠保全が1台当たり10万円前後、データベース化は電子データ1GB当たり数万円程度が相場です)。

 フォレンジックの実施に際しては、法的な効果を有する電子的エビデンスを網羅的に抽出する必要があるため、“関係がありそうなデータ”は全てが取得対象となります。従って、対象とすべきデータの範囲を明確な根拠で示し、フォレンジックの対象となる機器やデータを必要以上に増やさないことを前提においた平時のデータ運用が、有事におけるコスト削減の鍵になります。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。