インシデント発生時のコストを最小限に抑えるデータ運用術:特集:IoT時代のセキュリティログ活用(3)(2/4 ページ)
内部不正などのセキュリティインシデント発生時に避けて通れないのが、関連データを洗い出し、解析する「フォレンジック」だ。本稿では、万が一に備えた「データ運用術」を現場の“デジタルフォレンジッカー”が指南する。
コストカットには、データの「所在」と「アクセス権」を明確化すること
オンラインストレージ上のデータについては、データの内容によって適切にフォルダを分けて構成することと、それぞれのフォルダに対するアクセス権限やデータの操作に関する権限(更新・削除の可否など)を適切に設定することが望まれます。
これらには、大きく2つの意義があります。1つは、存在するデータの種別とその保管場所を明確に定義しておくことで、フォレンジック実施時のデータの取得対象範囲を限定できること。そしてもう1つが、そのフォルダにアクセスできる(できた)関係者を限定することで、フォレンジック実施時のデータ取得対象となる個人デバイスを限定できることです。
フォレンジックに掛かるコストの例(改善前)
図1を例にとって説明しましょう。今、インシデントが発生してしまったある企業で、フォレンジックによる調査を実施することになったとします。このとき、それぞれの機器、フォルダには次のような容量のデータが保存されていました。
- サーバ上のフォルダ:各フォルダ直下に100GB
- 個人利用のPC:各端末に50GB
- 個人利用の携帯電話:各端末に1GB
作業実施の人件費を除く、証拠保全の単価とデータベース化の単価は以下のように仮置きします。
- 証拠保全単価:PC10万円/台、携帯電話10万円/台、サーバ10万円/全体
- データベース化単価:5万円/GB
さて、ここで対象となるデータは図1で示されるサーバのどこかに保管されている可能性が高いものの、この企業では、どこに何のデータが保存されているのか明確に把握できていません。さらに、対象データに対する権限が適切に設定されているかも不明瞭で、誰でも自由にコピー・移動できる可能性がある環境でした。従って、図1上に存在する全てのデータがフォレンジックの対象となります。この場合、以下の費用が発生します。
- 証拠保全:PC10万円×5台+携帯電話10万円×4台+サーバ10万円=100万円
- データベース化:(100GB×12フォルダ+50GB×5PC+1GB×4携帯)GB×5万円=7270万円
- 合計:7370万円
このように、ファイルの運用管理に関するルールやアクセス権限が適切に定められていない、もしくはそのルールが形骸化していたためにファイルの閲覧・コピーが誰でも自由に行えてしまう環境などでは、フォレンジックのコストが大きく膨らんでしまうことになります。
では、同じフォルダ構成、同じアクセス権限で、各フォルダに格納されているデータの中身を明確に区分けするルールが存在し、そのルールが実践されていた場合はどうでしょうか?
Copyright © ITmedia, Inc. All Rights Reserved.