ISMSを構築するルールの1つに「A 16.2.7 証拠の収集」があります。簡単に言うと、情報セキュリティ事故が起こった際に記録を残しましょうというものですが、なぜ記録を残さなくてはいけないのでしょうか。組織内でセキュリティ事故を共有して再発を防止するというのも目的の1つですが、他にも重要な目的があります。
今回は、デジタルフォレンジックという手段・技術を絡めて、ISMSにおいてなぜ証拠の収集が必要なのかを考えたいと思います。
また、こちらではどなたでもご活用いただける「インシデント管理台帳」をご用意しておりますので、ぜひお気軽に無料でダウンロードしてご覧ください。
ISMS準拠! 情報セキュリティの強力な味方!
デジタルフォレンジックとは?
「デジタルフォレンジック」とは、情報漏洩や不正侵入などの情報セキュリティインシデントと呼ばれる問題が発生した際に、コンピュータ上に残されたファイルやアクセスログから犯罪の記録を収集・分析する手段や技術のことをいいます。
「フォレンジック」とはもともと、犯罪捜査における分析、鑑識を意味します。21世紀に入った頃から技術の発展に合わせて急増する情報セキュリティインシデントに対して、機器のログやコンピュータの記録から事態を究明するための情報を保全、分析するデジタルフォレンジックという手法が、言葉の定着と共に広がっていきました。
デジタルフォレンジックを構成する項目
デジタルフォレンジックは大きく分けて「収集」「検査」「分析」「報告」の4項目から構成されています。まずこの4項目について、個別に見ていきましょう。
収集
最初は収集です。収集されたデジタルデータは、紛失したり盗まれたりしないように適切に保全されます。それと同時に完全なコピーが作成されます。次工程の「検査」は、このコピーされた媒体に対して実行されます。このコピーには、デュプリケータと呼ばれる専用のツールが使われることもあります。
検査
次は検査です。これはコピーされた媒体から情報を読み出す作業です。媒体に保存されているファイルのタイムスタンプやタイムライン情報や、レジストリなどの解析、削除されてしまったファイルの復元も、この工程で行います。これらの作業により、次の分析工程の対象となる情報が分析しやすいようにデータ化されます。
分析
検査工程で整えられた情報から、調査の目的となるデータを分析するのが分析工程です。デジタルフォレンジックを実施する理由となったインシデント調査において、適切な「証拠」となるかどうか分析します。ここではデジタル技術に加えて、法律の知識も必要とされます。
報告
分析で得られた成果を最後に報告します。分析工程で分かることは断片的な情報であるため、それらをつなぎ合わして、まとまった情報に整理して、報告書成します。
デジタルフォレンジックにおいて要となるのが、コンピュータから収集した証拠を「収集」して「保全」するプロセスです。
せっかく収集した情報が実際に証拠として機能するまでに使えなくなっては意味がありません。よって、適切に収集した情報を適切に保全する必要があります。
デジタルフォレンジックの種類
デジタルフォレンジックは大枠な用語であって、その手段や技術の種類は以下のように細分化することができます。
コンピュータフォレンジック
コンピュータやハードディスクなどのストレージに記録された情報を保全し、証拠として分析します。
メモリーフォレンジック
コンピュータのメモリー上の情報を証拠として扱うフォレンジックです。メモリー上に展開された悪意のあるソフトウェアなどが外部に情報を流出させているような場合、ハードディスク上には記録が残らないことがあるため、メモリー上の情報を保全し、状況を分析します。
モバイルフォレンジック
ノートPCやスマートフォン、タブレットなど、場所を問わずに使用できるモバイル端末内の情報を保全し、証拠として分析するフォレンジックです。
ネットワークフォレンジック
情報端末同士を結ぶネットワーク内で証拠を保全し見つけることを目的とするフォレンジックです。ネットワークに流れる情報を取得して保存することで、情報端末間の分析を行います。これにより「いつ/どの端末が/どのようなルートで/どこに/何を送信したのか」といった全体像を把握します。
なぜインシデント記録が必要なのか?
冒頭でお話したように、ISMSでは情報セキュリティインシデントが発生した際に、インシデント記録を証拠として収集することが求められています。ではなぜインシデント記録が必要なのでしょうか。
それは、インシデント記録が法的根拠をもった証拠となり得る可能性が高いからです。
例えば、自社サーバへの不正アクセスによって個人情報の流出が起こったとします。これは悪意をもった犯行による情報セキュリティインシデントですが、企業側がその被害に気づくのはインシデント発生後から数時間後になるかもしれませんし、数日後かもしれません。
そのような場合、最終的に犯人の特定に至るまでにかなりの時間が経過している可能性があります。
その際に重要になるのが事件当時の記録です。
サーバやPCに記録されたログから「いつ/どのファイルに対して/誰が」などを特定して証拠として保持しておくことで、もし監督官庁から、インシデントを受けたという法的根拠を求められた場合に、適切な証拠を提出することができます。
ここで必要な技術が2つあります。
1つ目は、長時間経過した後に記録を取得するための技術です。
2つ目が、記録を法的根拠に基づいた証拠として保全する技術です。
つまり、これらのポイントを実現するための手段としてデジタルフォレンジックがあり、それはISMS上においても重要な役割を果たすものになります。
インシデント記録にご活用いただけるISMS準拠の「インシデント管理表」はこちら。
デジタルフォレンジックのポイント
ここまで説明したとおり、インシデント記録を証拠として収集するデジタルフォレンジックは、企業における危機管理の一環としても重要性が高まってきています。実際、2004年にIPO法人デジタルフォレンジック研究会が設立され、デジタルフォレンジックの普及・促進に貢献する活動をしています。
同研究会が発行しているガイドラインに「証拠保全ガイドライン 第8版v」があり、この中に「デジタル機器に残されたデータの中から、サイバー脅威による攻撃や内部の不正、犯罪といったインシデントに関わる電磁的証拠になり得る情報を、確実に、そのままで、収集・取得し、保全しておくことが、デジタルフォレンジックの運用者にとって最も重要なことである。」記載されています。
つまり、前章でも述べたとおり、証拠として使うことができるように正確かつ安全に記録を保全することがポイントです。
また、デジタルフォレンジックは記録を証拠として用いて犯人を探すことを目的としているだけではなく、従業員が犯罪者にならないように守る手段でもあります。サイバー攻撃を受けたPCが踏み台となって被害者が加害者になってしまうこともあります。
このような場合に、踏み台となってしまったという証拠をしっかりと保全して証明することができれば、被害者である従業員を犯罪者にしないで済むかもしれません。このように、実際にインシデントが起きてからではとても対応できないとならないように、事前にデジタルフォレンジックが可能な体制を整えておくことが重要です。
ファスト・フォレンジックとは?
ファスト・フォレンジックとは、従来よりも短時間で実行できるフォレンジックを目指した取り組みのことです。ファスト・フォレンジックという言葉に正確な定義はありませんが、シンプルに短時間化ができれば、その手段は問われないフォレンジックのことを指しているという解釈が一般的です。当然、フォレンジックですので、法律への配慮は必要でしょう。
ファスト・フォレンジックを実現するために「最低限のデータ」を「ネットワーク経由で調査・収集」するというアプローチが取られます。
「最低限のデータ」の調査ですが、これはフォレンジック対象となるコンピュータが内蔵しているHDDや、コンピュータの台数が多数である場合、そのすべてのデータを調査するのではなく、インシデントの痕跡が残されているようなデータに絞って調査することです。調査対象を予め限定することで、フォレンジックに必要な時間を短縮できるでしょう。
また「ネットワーク経由で調査・収集」することで、フォレンジックのために調査員が現場に赴く時間を省き、リモートでの調査を実行することで、フォレンジックのプロセスの一つである「収集」の手間も省けます。
ファスト・フォレンジックの導入により、インシデント発生時に短時間で原因の究明ができる可能性が高まります。時間を短縮化するだけでなく、フォレンジックのコストも低減できるでしょう。このようにファスト・フォレンジックにはさまざまなメリットがあるのです。
まとめ
今回は、ISMSの管理策「A 16.1.7 証拠の収集」の目的から考えて、実現するための手法の1つであるデジタルフォレンジックについて説明しました。
犯罪捜査などの限られた用途だけでなく、普段の業務からログ取得や定期的な確認は、組織の情報セキュリティレベルを高めるために効果を発揮します。ぜひ一度自社のインシデント対応フローを見直して、適切な記録が適切に保全できるのかをチェックしてはいかがでしょう。
また、ISMS準拠のインシデント管理台帳も併せてご活用いただけると幸いです。まずは無料でダウンロードして項目をご確認ください。