 |
コンピュータフォレンジック[後編]
フォレンジックで内部不正を発見せよ
守本正宏株式会社UBIC
代表取締役
2005/7/6
 |
内部不正を暴くフォレンジックの運用方法 |
基本的にフォレンジック調査は、定期的な監査以外では何らかの内部不正が発生してからの実施となる。インシデントの早期発見・未然防止のためには、これらの内部不正をいかに早く見つけ出し、効率的に調査を行うかということが重要である。
●ネットワーク監視との連携
セキュリティポリシーの設定・見直し、セキュリティ教育、アクセス制御・制限、認証などの措置を徹底させ、さらにネットワークフォレンジックツールによる監視・ログ保全をすることにより不正行為の予兆を発見することが可能となる。
また、ネットワーク監視装置との連携は、問題が発生した場合に多くの社員のPCの中から調査すべきPCを抽出できるという利点がある。しかし、対象者(被疑者)に事実の確認をする段階で、不正行為を否認されることがしばしば発生する。例えば、ネットワークログは残っていても本人の使用しているPCからは証拠が消されている場合もあるだろう。
また、ネットワークログは、企業側(調査側)にあるものであり、不正行為を行った人が持っているものではない。それ故、ネットワークログだけでは状況証拠にはなるが、決定的な証拠にはならない場合もある。
結果的にその社員の使用しているPCの調査が必要になり、フォレンジック調査を導入するというのが実情である。PCの使用履歴を保全・解析し、隠ぺい工作の形跡も含む多くの証拠データを集めることが犯人を特定する有力な手掛かりとなる。
 |
| 図3 ネットワーク監視とフォレンジックの連携イメージ |
●退職者のコンピュータ調査
退職者が使用したPCから情報が漏えいすることを防ぐため、現在ほとんどの企業ではハードディスクを完全消去してからPCの廃棄または再利用をしている。しかし、退職者が退職する直前に情報漏えいやデータ破壊・消去・改ざんなどを行い、企業に被害をもたらすことは意外と知られていない(皆さん気付いてはおられるようだが、私がこの話をするたびに感心される)。
そのため、重要データにアクセス可能であった従業員が退職した場合は、PCのデータを証拠保全用メディアに複製しておいてから消去作業を行うべきである。実際に事件が発覚後に保全しておいたデータを調査することによって、被害を未然にあるいは最小限にすることに成功した事例が報告されている。
●コンピュータ監査
内部監査部や人事部による内部不正行為調査において、行動不審者が不正を行っているか否かの情報を得なければならない場合がある。その情報を得るのに最も有効な収集源は、対象者が使用しているPCのハードディスクである。
ハードディスクの中には前編で紹介したように外部とのやりとりや、機密情報となるデータなどが大量に保存されている。そのため、行動不審者のコンピュータ監査はリスクマネジメントという観点からは非常に重要である。
ここで留意すべきことは、コンピュータ監査が行動不審者の不正行為を見つけ出すことだけではなく、その疑いが間違いであり無実であることを証明することも重要な目的の1つであるという点である。
|
内部不正を絶対に許さない |
コンピュータフォレンジックを利用したコンピュータ監査のような内部不正防止の対策は、投資効率が非常に高いといわれている。それは、個人情報漏えい事件などの損害を少なくするという意味だけではなく、技術情報などの知的財産の漏えいを防ぎ、企業の競争力を守り、正当な利益を得ることができるからである。
内部不正を完全に防ぐ方法はないといわざるを得ない。また、いつ訴訟に巻き込まれるかも分からない。リスクマネジメントという観点では、内部不正や訴訟問題は必ず発生するという認識が必要である。そして、万が一そのようなリスクが発生しても、内部不正は絶対に許さない、不当な情報開示に対しては法的手段をもって断固対処するという姿勢が必要である。
断固として戦う姿勢こそが、危機を抑止し、あるいは直面した危機を脱し、顧客、株主およびその企業の社員を守ることにつながる。そして、そのために必要不可欠な手法がコンピュータフォレンジックである。コンピュータフォレンジックを知らずしてIT化した国際社会では生き残ることはできないのだ。
 |
2/2 |
| Index | |
| フォレンジックで内部不正を発見せよ | |
| Page1 デジタルデータに対する心理 コンピュータフォレンジックが対象とする情報リスク 事業体による運用方法の違い |
|
 |
Page2 内部不正を暴くフォレンジックの運用方法 内部不正を絶対に許さない |
| 関連リンク | |
| 内部不正による情報漏えいを許さない | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
| Profile | |
 |
守本正宏 株式会社UBIC 代表取締役 コンピュータフォレンジックの専門企業の代表取締役として、フォレンジックツールの販売、調査官トレーニング、フォレンジック運用サポート、コンピュータ不正調査(コンピュータフォレンジックサービス)などを手掛けている。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
