検索
連載

セキュリティ事故対応に備えて知っておきたい「ディスクコピー」の手順セキュリティ教育現場便り(7)(1/2 ページ)

セキュリティ教育に携わる筆者が、今本当に必要なセキュリティ教育を解説する本連載。第7回では「証拠保全」の方法を、具体的なツールの操作手順とともに解説します。

Share
Tweet
LINE
Hatena
「セキュリティ教育現場便り」のインデックス

連載目次

 情報セキュリティ事故が起きたときには、証拠となるPCやデータを確保し、分析を行う必要があります。今回は前回に引き続き、そんな分析に役立つディスクコピーツールの使い方を紹介します。また、ディスクのコピー作業やログの分析を行う担当者に求められる「事故対応中の心構え」についても解説します。

証拠保全に利用できるツールその2――「FTK Imager」

 前回は、メモリのコピーを取得できる「DumpIt」を紹介しました。今回は、ディスクとメモリの両方のコピーを取得することができる「FTK Imager」を紹介します。

 「FTK Imager」は、AccessDataが公開しているツールです。ディスクのコピー機能によって、HDDやSSDなどの物理コピーを取得できます。取得した物理コピーは、ファイルの形式で保存されます。かつては物理コピーというとHDDからHDDへ丸々複製する方法が中心でしたが、最近では取り扱いのしやすさなどからファイル形式を採用することが増えています。複数の担当者が分析を行う際には、イメージファイルを担当者間でコピーして渡すことができます。

図1 イメージファイルの例
図1 イメージファイルの例

 物理コピーでは、通常のファイルコピーと異なり、削除済みのデータの他、ファイルの削除や更新時の断片化したデータもコピーされます。さまざまな痕跡を基にファイルを復元できれば、攻撃による被害やその原因を明らかにすることができるかもしれません。また、調査の際はコピーした保全データを分析するため、調査に失敗しても元のディスクに影響はありません。

 前回も紹介したように、例えばウイルス感染などの事故が起きたとき、ディスクコピーを自社で行うことで、証拠確保と業務継続の両方を実現することができます。ウイルスに感染したときは、感染の疑いのあるPCをいったん回収し、自社の担当者や情報セキュリティベンダーが分析するまで証拠として確保しておきます。代替PCがあれば、PC利用者は業務に戻ることができます。代替PCがない場合は、全ての分析が終わり、PCが返却されるまでは業務に支障を来すでしょう。情報セキュリティベンダーに引き渡す証拠としてディスクのコピーを自社で取得しておくことで、ユーザーにはOSを再インストールしたPCを返却できます。

 FTK Imagerを使うと、前回紹介した「DumpIt」と同様にメモリダンプも取得できます。どちらのツールを利用しても同じ結果を得られるので、いろいろと試してみて、使い勝手が良いものを選ぶとよいでしょう。なお、細かな差ですが、DumpItの方がプログラムとしてサイズが小さいため、メモリダンプを取得する際にメモリ上にロードされるデータサイズも小さくなります。証拠への影響を考慮するなら、念のため小さいサイズのプログラムを利用したほうがよいかもしれません。

FTK Imagerをダウンロードしよう

 それでは、FTK Imagerによるディスクコピーの方法を確認します。システム担当者やセキュリティ担当者は、以下に挙げる手順を知っておくとよいでしょう。併せて、定期的にディスクコピーやメモリコピーの訓練をしておき、いざというときに備えておきましょう。

FTK Imagerのダウンロード

 ダウンロード用URL:http://accessdata.com/product-download/digital-forensics

 AccessDataは、e-Discovery(訴訟における証拠開示制度。電子データを含む訴訟に関わる資料を収集し、開示するもの)やデジタルフォレンジックに関わるソリューション、サービスを展開している。特に、デジタルフォレンジックにおけるディスクやメモリの分析に利用するツール「FTK」が有名。今回紹介するのは、簡易的な保全と分析機能が付いた無料版の「FTK Imager」。

 FTK Imagerには、2つの種類があります。PCにインストールして使う通常版と、インストールなしに利用できるFTK Imager Liteの2種類です。ウイルス感染したPCのディスクコピーを行う場合は、証拠に影響がないように、FTK Imager Liteを利用しましょう。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  7. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
ページトップに戻る