ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」 | ScanNetSecurity
2020.09.18(金)

ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

証拠保全の重要性については前編で触れた。証拠保全のためのフリーツールも公開されており、手順を紹介した書籍もあれば、インターネット上にも情報が溢れている。果たして実際はどうなのだろうか?

特集 特集
「IT業界全体が同じチームだという意識で、一歩ずつ課題解決に取り組んでいく」
「IT業界全体が同じチームだという意識で、一歩ずつ課題解決に取り組んでいく」 全 1 枚 拡大写真
証拠保全の重要性については前編で触れた。しかし、証拠保全のためのフリーツールも公開されており、手順を紹介した書籍もあれば、インターネット上にも情報が溢れている。少しコンピュータに詳しいエンジニアなら自分でも出来そうなものだが、果たして実際はどうなのだろうか?

デジタル・フォレンジックや不正調査支援サービスを展開する株式会社Ji2と2014年に経営統合し、一丸となってフォレンジック案件に取り組むソリトンシステムズ 荒木氏に話をきいた。

●フォレンジックの目的から判断する

「私たちが証拠保全作業をさせて頂く場合、必ず熟練の経験者を派遣します。最近の端末は、ディスクが暗号化されていたり、トリッキーな作りになっていることもありますし、端末がそもそも不安定だったりして、マニュアル通りにうまく証拠保全出来ないことも多々あるのが実情です。現場で状況判断して対応する必要があるので、経験豊富なエンジニアを派遣するようにしています。

しかし、証拠保全しないと、その先のフォレンジックサービスにも繋がらないので、やむなく廉価で証拠保全を請け負うベンダーも多いようです。このあたりも、証拠保全の価値や重要性が、まだお客様に十分理解されていないことの証左かもしれません。(荒木氏)」

これまで、サイバー攻撃は、企業リスクとして認識されておらず、インシデントも出来るだけ「無かったこと」にしてきた企業も多いと聞く。しかし「サイバーセキュリティ経営ガイドライン」でも指摘されているように、今や時代は変わり、ステークホルダーに説明責任が果たせるかどうかが、企業の運命を左右する時代となった。

あなたの企業・組織にとって、インシデント発生時にフォレンジック調査を行う目的は何だろうか? 説明責任を果たし、いざという場合には裁判に利用できる証拠データを確保するという目的であれば、その目的を満たすレベルで、証拠保全出来るかどうか…自社で対応する場合はこの点を見極める必要がありそうだ。

●現場力を養うフォレンジックトレーニング

CSIRTなどのインシデント対応体制を整備し、ある程度は自社で対応する方針を持つ企業もあるだろう。ソリトングループでは、証拠保全やフォレンジックサービスを提供するだけではなく、こうした業務に携わる方向けに、証拠保全の基礎などの技術トレーニングも行っている。その中では、経験者の知恵や現場で陥りやすいポイントなど実践的な内容を盛り込んでいるという。

「例えばCD/DVD用の安価な不織布ケースをブルーレイディスクに使って出し入れしていると、ブルーレイはCD/DVDとは保護膜の仕様が異なるため、徐々に状態が変わって正しく読めなくなります。こうしたメディアの知識もフォレンジック現場では重要ですが、案外ハードウェアにお詳しくないIT管理者の方も多いので、実践力を身につけていただけるような工夫をしています。(荒木氏)」

証拠保全にどれぐらい時間がかかり、その後のスケジュールはどのように段取れば良いか?現場で実働する担当でなくとも、インシデント対応に関わり、意思決定する立場であれば、最低限の知識としてフォレンジックの基礎を把握しておきたいところだ。こうした観点でトレーニングを受講する参加者も増えてきたという。

●フォレンジックは手段であって、目的ではない

サイバー攻撃は増加し、フォレンジック調査が必要なインシデントも増えている。しかし実際には、フォレンジックの価値が正しく理解されることは少なく、フォレンジックサービスを受ける側の企業・組織と、サービス提供する側のベンダーの間で、どうもプロトコルが噛み合っていないようにも見えてくる。フォレンジックビジネスは今後どうなってしまうのだろうか?

「ソリトングループに調査をご依頼いただく事案でも、かなり高度な攻撃手法が見られるようになってきました。そういう手口を明らかにするフォレンジックは、理解されにくいビジネスだからといって簡単に諦めてはいけない分野だと思っています。適正価格できちんと対価をいただき、少しでも質の高いフォレンジックサービスを提供し続けることが、私たちの社会的責任でもあると考えています。

そのために取り組んでいることはいくつかあるのですが、特に『お客様の立場で考えること』ことについては、特に心掛けています。

フォレンジックの世界は奥が深く、幅広い知識や経験、創意工夫が要求されることもあり、究めようとすると研究者レベルの情熱が必要となります。もちろん日々の技術研鑽は必要ですが、だからといってお客様と同じ視点を持つことは忘れてはならないと考えています。

私たちのミッションは、お客様のお困りの状況を少しでも解決することとしています。そのため『お客様の立場で考える』ことを心掛け、お客様にとって分かりやすいフォレンジックサービスを提供するための努力を惜しんではいけないと思っています。結果としてフォレンジック道を究めることになるかもしれませんが、それはあくまで手段であって目的ではありません。(荒木氏)」

●攻撃者優位を打破する取り組み

サイバー攻撃は、組織化され十分なリソースが与えられた攻撃者側に対し、防御側は完全に後手に回っているとしか言いようがない。そもそも、フォレンジックサービスを受ける側と提供する側、つまり防御する者同士でのギャップを議論している場合ではないのだが、残念ながらこれが日本の現実だと認めなくてはならないだろう。この状況を打破するためにも、製品開発ベンダーとしてフォレンジックの知見を活かし、インシデント対応に役立つようなソリューションも提供していきたいと荒木氏は語る。

「最近はニュースでもサイバー攻撃に関する情報が増えてきたので、情報過多でかえって取り残されてしまう方も多いように感じます。攻撃者の餌食にならないよう、お客様には現状を知って、冷静にリスク管理を進めていただきたいといったことばかりお話ししてしまいましたが、もちろん私たち対策ベンダーの努力もまだまだ足りないと考えています。アプライアンス製品やソフトウェア製品を開発し、フォレンジックやトレーニング、そして訴訟対応まで支援できるチームを持つソリトングループとして、私たちが果たすべき使命は重いと感じます。

攻撃者は悔しいことにチーム戦に長けています。攻撃優位の状況を打破するためには、私たちも、お客様や販売パートナーだけでなく、IT業界全体が同じチームだという意識で、一歩ずつ課題解決に取り組んでいく必要があると考えています。(荒木氏)」

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  2. 社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

    社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

  3. TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

    TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

  4. 社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

    社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

  5. 社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

    社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

  6. パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

    パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

  7. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  8. 開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

    開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

  9. 「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

    「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

  10. PCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュール

    PCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュールPR

ランキングをもっと見る