検索
特集

インシデント発生時のコストを最小限に抑えるデータ運用術特集:IoT時代のセキュリティログ活用(3)(4/4 ページ)

内部不正などのセキュリティインシデント発生時に避けて通れないのが、関連データを洗い出し、解析する「フォレンジック」だ。本稿では、万が一に備えた「データ運用術」を現場の“デジタルフォレンジッカー”が指南する。

Share
Tweet
LINE
Hatena
前のページへ |       

外部オンラインストレージサービス利用時のポイント

 クラウドサービスなど、第三者が運営するオンラインストレージサービスを導入する際にも、留意すべき点があります。「サービス提供事業者からのデータ取得に要する時間」と「復号データの引き渡し可否」です。

サービス提供事業者からのデータ取得に要する時間

 フォレンジックの大半は、インシデント発生時に行われます。つまり急を要するケースがほとんどであり、電子的なエビデンスとなるデータの取得をいかに迅速に行えるかが重要なポイントとなります。フォレンジックにおける証拠保全では、そのデータが格納されている機器からデータを取得するため、クラウドサービス提供事業者の協力が得られなければ、「対象データが取得できない」もしくは「データの取得までに非常に長い時間を要してしまう」というリスクがあります。

 例えば、発生した事案によっては数日間での調査完了が求められるケースがありますが、データの取得に際してクラウドサービスの提供事業者から煩雑な“事務手続き”などを要求され、期日までに十分な作業が実施できないといったケースがあります。週末や長期休暇期間中の緊急対応の可否と併せて、データ引き渡しの手続きを事業者側に事前に確認しておくとよいでしょう。

復号データの引き渡し可否

 また、クラウドに格納されているデータは、セキュリティの観点から暗号化されているケースが多々あります。暗号化されたままデータを証拠保全した場合、デジタルフォレンジックのテクノロジーを用いても、その中身を見ることはできません。

 先にも述べた通り、証拠保全においては、取得したファイルと元のデータとの完全な同一性を担保しなければなりません。そのため、データが暗号化されている場合には、復号された状態のデータが格納されているクラウドサービス事業者の機器にフォレンジック用の専用機器を接続し、作業を実施する必要があります。電子ファイルをOS上でコピーすると、タイムスタンプ情報などが上書きされてしまい、元ファイルとの同一性が担保できなくなってしまうからです(ただし、電子メールなどのデータの場合は、ヘッダ情報に送信日時などが残っていることがあるため、復号したファイルをOS上でコピーして取得すれば調査が進められるケースもあります)。

 従って、クラウドサービス事業者から、復号された状態のデータを受領することができるかどうかが、フォレンジック作業の進捗を左右します。この点についても、事業者側に事前に確認しておく必要があります。

 オンラインストレージ領域のに関して、クラウドサービス提供事業者との調整が長引けば、おのずと人件費もかさみます。あらかじめサービスの提供条件やインシデント発生時の対応条件をクラウドサービス事業者に確認し、可能であればその条件を利用契約書の中に明確に盛り込んでおくことをお勧めします

IoTへの対応は?――端末の多様化にいかに備えるか

 さて、これまでお伝えした内容をまとめると、フォレンジックにおいて十分な対応を行い、かつコストを抑えるためには、以下がポイントとなります。

  1. どこにどのような電子データが存在するのかを、合理的に整理し、把握しておく
  2. 誰がどの電子データにアクセスできるのか(できたのか)を、履歴を残して管理する
  3. 外部のベンダーが運用・管理するオンラインストレージを利用するときは、「緊急の場合に迅速かつ適切な対応が行えるか」を前もって確認する

 このうち、2にはネットワークに接続するデバイスも大きく関係します。例えば、BYODを導入している企業では、従業員が個人で所有するデバイスが社内のネットワークにアクセスすることになります。セキュリティの観点では、「社内ネットワークへのアクセス権限設定を慎重に行う」ということになりますが、フォレンジックまで見据えた場合、「誰がどのようなデバイスを使っている(使っていた)のか」を把握することに加え、「個人所有のデバイスからも証拠保全ができるルール」を整備することも求められます。証拠保全のルールが存在せず、企業側の強制力がない場合、「所有者に対応を拒否されるとフォレンジックが実施できない」という事態が発生しかねないからです。

 また、PCとスマートフォン、タブレットなどの端末によって、保全に用いる専用機材は異なります。さらに、同じPCであっても、OSのバージョンが異なれば対応の可否は変わってきます。この上にIoTがますます本格化すれば、ウェアラブル端末や車載機など、今までとは全く異なるデバイスがネットワークに接続される可能性があります。フォレンジックの観点からIoTを見れば、こうした多様な端末が企業のネットワークに接続されたときに備えて、今まで以上に複雑なデータ管理やルールの在り方を考える必要があるといえます

平時運用の重要性

 最後になりますが、フォレンジック対応は「言うは易く行うは難し」です。日常の業務に影響を与えないようにフォルダ構成やアクセス権限を変更したり、オンラインストレージを別事業者のサービスに移行したりするのは大変な手間と時間を要します。気になる点や具体的な課題が少しでも見えたときには、時間をかけて緩やかにデータ運用の見直しと変更を実施するのが現実的でしょう。

 また、オンラインストレージの入れ替えなど、既存の運用ルールが大幅に変更されるような機会があれば、そのチャンスを見逃さずに、インシデント発生時の対応を見据えたデータ運用形態へと一気に切り替えることを検討するのもよいでしょう。その際、営業秘密に該当する重要情報の管理方法や、個人所有デバイスからの証拠保全に関するルール作成などについては、リーガル部門や顧問弁護士からアドバイスを受けることをお勧めします。

 インシデントが発生してからできることは限られています。事態の収束までに要するコストや時間を圧縮する最大の手段は、万一に備えた平時運用、つまり、事前の備えをおいてありません。この機会に、自社のデータ運用の在り方を見直してみてはいかがでしょうか。

岡田 大輔(おかだ だいすけ):シニアヴァイスプレジデント

 2008年よりデジタルフォレンジックに従事。電子データの証拠保全やデータプロセスの技術を取得後、不正調査の専門家として産業スパイ、情報漏えい、不正会計など200件を超える企業不祥事や紛争事案を担当してきた。2011年より不正調査を専門とする関連会社の立ち上げに参画し、近年は多数の案件に携わった経験を基に、営業秘密マネジメントに関連する業務と共に、クロスボーダーの不正監査や調査案件を多数担当している。

村上 尚矢(むらかみ なおや):ヴァイスプレジデント

 2008年よりデジタルフォレンジックに従事。eDiscoveryエンジニアとして、国際訴訟におけるeDiscovery対応や、内部調査支援(カルテル、FCPAなど)に多数携わってきた。eDiscoveryを視野に入れたリーガル対応、組織機能および情報管理に関するアドバイザリーなど、インシデント発生を見据えた平時運用に関するコンサルティングも担当。


特集:IoT時代のセキュリティログ活用

IoTセキュリティというと、「モノ」、すなわちデバイス側のセキュリティ対策を想像する方が多いかもしれない。しかし、当然のことながらIoTセキュリティは、デバイスに対策を組み込むだけで終わるものではない。例えば“サービス層”において、無数のデバイスの状態を把握し、異常や攻撃の発生をいち早く検知することも必要となる。そのためには、デバイスから送られてくる「ログ」などのデータを迅速に分析する仕組みが欠かせない。本特集では、IoT時代に必要な「ログ活用」のための実践的な情報を提供する。



Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る