セキュリティ教育に現場で携わる筆者の経験から、今本当に必要なセキュリティ教育について考える本連載。第5回では、インシデント対応に不可欠な「証拠保全」のポイントを解説します。
前回、情報セキュリティ事故に対応する「テクニカル担当者」の役割を紹介しました。今回は、テクニカル担当者に求められる「証拠保全意識」について、具体的な注意点とともに解説します。
情報セキュリティ事故の原因や被害を特定するためには、サイバー攻撃の痕跡を正しく収集し、分析することが不可欠です。テクニカル担当者は、この痕跡が消えてしまわないように、証拠となるPCやファイルをしっかりと“保全”しなければなりません。証拠の収集と取り扱いは、事故対応において最も重要なポイントです。
情報セキュリティ事故対応に携わる担当者として、まず身に付けておきたいのが「証拠保全」の意識です。攻撃や被害の痕跡を誤って消してしまえば、事故後の調査や分析ができなくなります。そうなると、再発防止策を立てたり、被害者への対応を検討したりすることもできません。組織として情報セキュリティ事故への適切な対応を行うためには、分析が可能な状態で証拠を保全し、収集することが不可欠なのです。
これは、自社で分析を行うときはもちろん、セキュリティベンダーに調査を依頼するときにも必要な考え方です。不用意にシステムやコンピュータ上のデータを触ってしまうことで証拠の状態が変化し、セキュリティベンダーによる分析が困難になることがあるからです。場合によっては、証拠を維持するために「何もしない、何も触らない」という判断をすることも必要になります。こうした証拠保全の意識は、インシデントレスポンスにおいて最も重要であると言っても過言ではありません。
情報セキュリティ事故の発生時に証拠となるデータには、下記のようなものがあります。
<証拠となるデータの例>
証拠保全は、コンピュータの世界における「デジタルフォレンジック」に関連する言葉です。本来のデジタルフォレンジックは、裁判の際に、法廷に証拠として提出するためのデジタルデータの収集・分析手法や、法廷にデータを提出するための手続きなどを指します。デジタルデータは、もともと改ざんが容易で欠損も起こりやすいため、証拠となるデータが正しいことを保証する方法が考えられたのです。
この中で「証拠保全」とは、法廷への提出を前提として、証拠となるディスクの完全なコピーを取得したり、作業記録を作成したりするといった、適切な証拠を得るための一連の手続きのことを指します。日本では、このデジタルフォレンジックの技術を、インシデントレスポンスに活用する例が増えてきています。
ただし、インシデントレスポンスを目的にする場合は、法廷への提出を前提としたような、厳密なデジタルフォレンジックや証拠保全は求められません。しかしながら、証拠が消えてしまうと、先に述べたような「原因や被害の特定ができない」といった問題が発生します。事故対応に関わる担当者は、この証拠保全の考え方に倣い、証拠となるデータが消えたり書き換わったりしてしまわないように、適切に収集する必要があります。
証拠となるデータを消してしまう行動は、大きく(1)テクニカル担当者による判断ミスや操作ミス、(2)インシデント対応に携わらない社員による操作、(3)攻撃者が仕掛けたわなの発動によるデータ消失の3つに分けられます。以下で、それぞれのケースについて詳しく説明します。
攻撃により作成/改ざん/削除されたファイルの痕跡を、分析担当者が誤って消してしまうというミスが、実際にしばしば発生しています。その理由はさまざまです。マウスやキーボードの単純な操作ミスもあれば、深夜時間帯の疲労からくる操作の誤り、あるいは、そもそも操作対象のPCやデータを証拠と認識していないことによる見落としや、間違った思い込み(後述)による削除などもあります。
まず、PCを分析したり、ディスクをコピーしたりする作業を深夜に行うときには、操作ミスに十分注意しましょう。また、疲労の他にも、担当者が作業に慣れてくるとミスが増える傾向があります。特に、事故発生時にディスクのコピーを取得するときはよく注意してください。取得元のディスクとコピー先のディスクを入れ違えてしまうなどのミスにより、証拠データが全消去されてしまうといった事態に陥る危険性があります。誤ってデータを削除してしまっても、他の証拠でカバーできればよいのですが、替えがきかないデータの場合は、特に細心の注意を払わなければなりません。
証拠の取得作業や分析作業のうち、定型化できるものはコマンド手順書を用意しましょう。ベテランの担当者であっても、コマンド手順書を手元に用意し、参照しながら操作を行います。また、作業はできるだけ2人以上で行うようにし、1人をキーボードの操作担当、もう1人をコマンドの確認担当にするといったように、ミスを減らすための体制をとりましょう。
それから、「不審なファイルを消去すれば、サーバが直るかもしれない」といった思い込みにより、ファイルを自ら消してしまうこともあります。冷静に考えればあり得ないように思える行動であっても、緊急時になると、焦りのあまり行ってしまうことがあります。不審なファイルやデータを見つけたときは、まずバックアップを取得するなど、データを復元できるようにしておきましょう。また、どのような作業を実施したのかを記録しておくことも大切です。
Copyright © ITmedia, Inc. All Rights Reserved.