 |
コンピュータフォレンジック[前編]
内部不正による情報漏えいを許さない
守本正宏株式会社UBIC
代表取締役
2005/6/10
情報漏えい事件の多くは、内部の人間によって引き起こされている。このため、情報漏えいを未然に防ぐ対策だけでなく、それが発生することを前提としたシステムを構築する必要がある。コンピュータフォレンジックは、誰がどのような手段を使って情報を持ち出したのかを見つけ出すものとして注目を浴びている(編集部)
IT技術の目覚ましい発達によって情報がより高速に大量にかつ容易に保管・移送・書き換え・消去できるようになり、われわれの社会生活の利便性は著しく向上した。一方で、ITを利用した犯罪も急激に増加してきた。ITの発達によるリスクが増加してきたといってもよい。
そのリスクとは、いわゆるハッカーやクラッカーと称される特殊技術を有した者による不正アクセスから発生する不正行為だけではない。昨今問題になっている個人情報漏えい事件にも見られるように、内部の正当なアクセス権を持つ“普通の人”の手による不正行為が数多く発生しているのが現状である。
その結果、情報の不正使用などは必ず発生するものであるという観点に立った対策が必要になってきた。これまで主流であった防御的なセキュリティ対策に加えて、情報漏えいなどのセキュリティインシデント発生後の対応策が求められる。その中でも、不正行為を行った者に対する法的措置を視野に入れた対応である、コンピュータフォレンジックが脚光をあびている。
フォレンジック(Forensics)とは調査対象物を科学技術を用いて証拠化し、法的に問題を解決する手段であり、いい換えれば科学捜査、あるいは鑑識という言葉で表現されるものである。そのうち、コンピュータを対象とするものをコンピュータフォレンジックという。本稿ではコンピュータフォレンジックの技術と運用方法を紹介し、現代社会のリスクマネジメントを行ううえでの重要性を説明するとともに、わが国におけるコンピュータフォレンジックの活用を提言する。
 |
コンピュータフォレンジックの位置付け |
先述したように高度に発達したIT社会におけるリスクは、あらゆる情報がデジタル化されているために発生していると考えるべきである。しかも目に見えないデジタルデータとして存在するため、そのリスク管理は容易ではない。デジタルデータをどれほど正確にかつ安全に管理できるかが、その情報を持つ団体や個人にとっての重要課題になっている。
デジタル情報を守るさまざまな情報セキュリティ技術が発達してきた。しかしながら、デジタルデータを守ることは非常に困難であり、現実的には完全に情報を守ることは不可能であるといわざるを得ない。
企業など実際の現場では、個人情報などを守るためにセキュリティポリシーを定め、アクセス制限を設け、防止・阻止の対策を施し、監視システムにより異常の検知をする。もし、問題が発生すれば、直ちにシステムを正常化することに努める。あらかじめ準備しておいたバックアップを代替システムとして起動させ、その間に問題があったシステムを復旧させる。また、問題を発生させた原因である不正アクセスの痕跡を被害設備から調査していく。必要に応じて損害賠償などの対応も行う。これらの措置は、すべて被害を受ける側のための“盾”であるといえる。
一方、事後対応のために使用される措置がコンピュータフォレンジックである。フォレンジックは法的措置を行うことを目的とし、事後において実際に行われた証拠保全、解析、それに伴う報告を行う。すなわち、フォレンジック的対応の特徴は、これらの措置が加害者に対する“矛”して用いられるということである。
|
法的措置を含む事後対応の重要性 |
これまでの情報セキュリティにおける安全管理措置は、ほとんどすべてが防御や阻止に重点を置いている。情報漏えいなどのセキュリティインシデントが発生する状況を想定すると、外部からの侵入者やアクセス権限のない者による不正行為、すなわち不正アクセスが発端で行われる犯行に加えて、内部の有権限者による正当なアクセスを利用した犯行が無視できないことは明らかである。実際に、発生した事例を見ても、内部関係者の犯行による事件が相当数発生している。
しかしながら、現在主流である外部からの侵入や内部のアクセス権限のない者に対する防御措置を主な目的としたセキュリティ手法では、内部の有権限者が行う犯行には必ずしも有効とはいえない。むしろ、内部の有権限者に対する実質的な防御手法は存在しないといえる。組織内部のすべての権限者に制限を設けることは、正常な企業活動が不可能になり、現実的ではないからである。
その結果、安全管理は有権限者のモラルに期待するしかない。しかしながら、リスク管理という観点からは、モラルなどという目に見えないものに100%の信頼を置くことは経営者として適切ではない。結論として、セキュリティインシデントが発生することを前提とした事後対応策が必要となる。
これまでも事後対応策として、セキュリティインシデント発生後のシステムの復旧や、万が一に備えたバックアップ、事例考察とフィードバックなどが挙げられていたが、具体的に不正行為を行った者に対する措置はほとんどなかった。
不正行為を行った者に対する措置とは、法治国家の下では必然的に法的措置となる。フォレンジックこそが、有権限者の不正に対する最も有効な対処法の1つになるといえる。また、セキュリティインシデント発生前であっても、監査として有権限者に対してフォレンジック調査を行うことによる抑止効果も期待できる。
1/3 |
|
| Index | |
| 内部不正による情報漏えいを許さない | |
 |
Page1 コンピュータフォレンジックの位置付け 法的措置を含む事後対応の重要性 |
| Page2 コンピュータフォレンジックの調査結果 コンピュータフォレンジックの概要 |
|
| Page3 コンピュータフォレンジックに対する理解が重要 |
|
| 関連リンク | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
