インシデント発生時のコストを最小限に抑えるデータ運用術:特集:IoT時代のセキュリティログ活用(3)(3/4 ページ)
内部不正などのセキュリティインシデント発生時に避けて通れないのが、関連データを洗い出し、解析する「フォレンジック」だ。本稿では、万が一に備えた「データ運用術」を現場の“デジタルフォレンジッカー”が指南する。
フォレンジックに掛かるコストの例(改善後)
図2をご覧ください。この環境では、調査対象のデータはフォルダA2-2に格納されており、他のフォルダには存在しないことが確実で、データへの権限も明確に設定されています。従って、当該フォルダおよびそのフォルダにアクセスできるA氏とC氏のデバイスのみを対象として作業に着手することになります。
この場合、図1と同じ条件で計算したコストは以下のようになります。
- 証拠保全:PC10万円×3台+携帯電話10万円×2台+サーバ10万円/台=60万円
- データベース化:(100GB×1フォルダ+50GB×3PC+1GB×2携帯)GB×5万円=1260万円
- 合計:1320万円
フォルダの利用に関するルールを明確化し、それを実践するだけで、フォレンジックで発生するコストを劇的に下げられることが分かります。加えて、図2における対象データが“閲覧のみを許可”されたもので、ユーザーによる移動やコピーができない状況であったと仮定すると、A氏とC氏の個人デバイスには対象データが存在しないと判断され、フォレンジックの対象から外せるかもしれません。その場合には、フォレンジックに掛かるコストをさらに削減できます。
なお、上記のコストは証拠保全およびデータベース化のみを対象としていますので、これに追加で人件費が加算されることには注意してください。解析やレビューには相応の人数が投入され、人数×時間単価の人件費が発生します。従ってここでも、調査対象となるデータを論理的に限定し、フォレンジックに要する人員や作業時間を短縮することが、大幅なコスト削減を実現するためのポイントとなります。
また、フォルダへのアクセス権限は、最新の情報だけではなく過去の履歴も残しておくことが重要です。この履歴は、調査対象となるデータに対して「誰がアクセス可能であったのか」を過去にさかのぼって把握するとともに、当該データの作成日や更新日以前にアクセス権限が消滅しているユーザーを調査対象から除外するための判断基準として使用できます。
多くの場合、インシデント発生時のフォレンジックは避けることができません。「コストが大きいから」という理由で、拒否することはできません。従ってここまで述べてきたように、「フォレンジックの対象となるデータやユーザーの範囲をいかに合理的に絞るか」という点が、いざというときのコスト削減の大きなポイントとなることを十分に理解し、平時からこの点を踏まえたデータ管理を実施するようにしてください。次に、クラウドのストレージサービス利用時の注意点を紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.