デジタルフォレンジックとは?重要性や種類・実現の流れをわかりやすく解説
デジタルフォレンジックとは、2006年のライブドア事件で広く認知されたデジタル界における証拠保全や分析のことです。この記事ではデジタルフォレンジックの意味や重要性、3つの要素や種類、調査の流れと費用について解説しています。
目次
デジタルフォレンジックの意味とは
インターネットが発達し、あらゆるものがデジタル化していく一方で、サイバー攻撃やハイテク犯罪は巧妙化しています。
それはデジタル技術を導入している企業にとって、決して他人事ではありません。避けられないセキュリティインシデントに向けて、事前に対策を立てることは、自社の信頼性を担保することにもつながるでしょう。そのためのインシデントレスポンスとして、注目されているのがデジタルフォレンジックです。
フォレンジックは法科学のこと
フォレンジック(forensics)はあまり聞き馴染みのない言葉かと思いますが、法的に有効なものとして扱われることが多いです。
法科学(フォレンジック・サイエンス)とも呼ばれ、犯罪捜査における分析を通じて、事件解決と法廷での立証を目的としています。
フォレンジックの分野は多岐にわたり、生体遺留物を採取・鑑定する犯罪鑑識学や、頭蓋骨や歯型を分析する法歯学、犯罪者プロファイリングを行う法心理学など、多種多様な分野で成り立っています。
デジタルフォレンジックとは証拠保全と分析を行う技術
デジタルフォレンジックとは、フォレンジックの概念をデジタル分野に適用したものを指します。
データの改ざん、不正アクセス、遠隔操作など、巧妙化するサイバー犯罪に対して、犯罪の痕跡調査やデータの復旧対処だけでなく、それらの原因や証拠を究明していきます。
かつてはコンピュータフォレンジックの同義語として扱われていましたが、昨今のデバイス類の広がりを考慮して、より包括的な意味合いとして利用されるようになりました。
ライブドア事件で認知されるようになった
デジタルフォレンジックが日本で注目を浴びるようになったのは、2006年に起きたライブドア事件がきっかけといわれています。
警察によって押収されたパソコンなどの電子機器から復元された電子メールや機密ファイルが、法的証拠として認められたことで、デジタルフォレンジックは広く認知されるようになりました。
ライブドア事件以降、デジタルデータを扱う企業が増えたことで、デジタルフォレンジックの適用範囲はIT犯罪だけでなく、一般事件の捜査や立証にも役立てられるようになっていきます。
デジタルフォレンジックの重要性とは
サイバー空間における証拠の保全と分析を行うデジタルフォレンジックは、個人情報や顧客情報をデータで管理する企業にとって、重要な技術であるといえます。
では、デジタルフォレンジックの理解を深めることは、どのような対策につながるのでしょうか。ここでは具体的な3つのポイントについて説明します。
サイバー攻撃による被害の原因究明
情報流出などのセキュリティインシデントが発生した際、デジタルフォレンジックは原因の究明に役立ちます。
どのような種類の攻撃を受けたのか、どこに脆弱性があったのか、マルウェアの感染経路や経緯は何なのかなど、原因を詳しく理解することで、再発防止策を立てやすくなるでしょう。
また、デジタルフォレンジックによって被害の全貌を把握することで、法的処置を取りやすくなります。
サイバーセキュリティにおける責任の所在を明確化
デジタルフォレンジックによる被害の原因究明が進むと、引き金となった行動や、その行動を取った人物が特定され、責任の所在が明らかになります。
過失の詳細が把握できれば、自社が責任を問われ、訴訟される事態に陥った場合も対策を立てやすくなります。
サイバー攻撃・内部漏洩の防止
デジタルフォレンジックの整備を進めることは、サイバー攻撃のターゲットとして狙われにくくなるだけでなく、従業員や退職者による情報漏えいの予防も期待できます。
デジタルフォレンジック技術により、被害の原因特定や証拠分析が素早く行われることを周知していれば、不正行為に大きなリスクが伴うことは明白です。
そのため、デジタルフォレンジック技術の体制構築を進めることは、名簿業者に顧客データを売り渡すなどの不正行為を未然に防ぐことにもつながるでしょう。
デジタルフォレンジックに欠かせない3つの要素
デジタルフォレンジックが法的根拠として有効なレベルに達するには、3つの要素を満たす必要があります。
(1)手続きが正当であること
データによる証拠能力を担保するうえで、前提となるのは電子機器や記録媒体などが法律に基づいて適切な管理・取り扱いがされていることです。
法律で定められた範囲を逸脱した管理方法や解析などが行われている場合、手続きの正当性を証明することができません。
そのため、定められた手続きに則って、電子機器や記録媒体を取り扱うことが重要となります。
(2)解析が正確であること
デジタルフォレンジックで解析されたデータが証拠として認められるには、データの事実性が重要です。
データは改変が容易に行えるため、論理的・技術的に正しい手続きで解析を行い、独自の推論や解釈を加えることなく、データが間違いなく事実であることを示す必要があります。
データに過不足があっては、証拠不十分とされる可能性もあるため、正確性を確保することが大切になるでしょう。
(3)第三者による検証がされること
第三者による客観的な検証ができていることは、デジタルフォレンジックの正当性を証明するうえで重要な要素です。
解析担当者ではない人物が、正当な手続きで解析を再現した際、同一の結果が得られなければ証拠能力を疑われてしまいます。
そのため、解析の過程や結果だけでなく、解析に用いた手法や技術も明らかにすることで、再現性を担保しやすくなり、事実を客観的に証明しやすくなるでしょう。
デジタルフォレンジックの種類
デジタルフォレンジックは、調査の対象や方法によって主に4つの種類に分けられます。
- コンピュータフォレンジック
- モバイルフォレンジック
- ネットワークフォレンジック
- ファストフォレンジック
(1)コンピュータフォレンジック
コンピュータフォレンジックとは、コンピュータに関連する科学捜査を指し、コンピュータ本体に記録されているデジタルデータを収集・復元・分析することで、被害の全容を明らかにし、不正操作やデータの改ざんを証明する技術です。
コンピュータなどの電子機器は情報の宝庫であり、そのサイズ感からは想像できないほどの情報が蓄積されています。
情報流出の原因となったコンピュータを調べることで、流出の時期や原因、経路、当時の操作環境や操作履歴、証拠隠滅を施されたデータの復元など、被害における幅広い痕跡を見つけることができます。
(2)モバイルフォレンジック
モバイルフォレンジックとは、モバイル端末に特化したフォレンジック技術です。携帯電話やスマートフォンを調べ、通話やメッセージアプリの受発信履歴、インターネットの利用履歴、アドレス帳に保存された個人情報、画像・動画データ、位置情報の履歴などから被害の痕跡を特定します。
モバイル端末はパソコンよりも更新頻度が高く、位置情報が点在しているため、より複雑な解析が求められます。近年はIoTの制御端末としての機能も搭載しており、どのようなモノと接続しているかという観点から痕跡にたどり着くこともあるでしょう。
(3)ネットワークフォレンジック
ネットワークフォレンジックとは、ネットワーク上でのデータの挙動を調査・解析するための技術です。
ネットワーク上で行き来するパケットデータの不審な動きを調べ、いつ、どの端末が、どのような経路で、何のデータを送受信したのかという情報を、完全性を保った状態で記録していきます。
ネットワークフォレンジックは、不正侵入の検知やサイバー攻撃の監視だけでなく、企業の内部統制にも活用されます。
ネットワークフォレンジックの導入で日々のデータ挙動をチェックすることで、内部の人間による情報流出を防ぎ、不正の抑止力として機能することが期待できるでしょう。
(4)ファストフォレンジック
ファストフォレンジックは、デジタルフォレンジックを迅速に行うための手法です。
近年では大規模なデータを取り扱う機会が増え、調査対象となるストレージや端末台数が増加しています。それによって、従来のデジタルフォレンジックでは調査に膨大な時間を要してしまい、企業の信頼回復に向けてスピーディに対応を進めることが難しくなっていました。
そこで注目されているのが、必要最低限のデータを抽出・解析するファストフォレンジックです。この手法は調査を段階的に切り分ける考え方を採用しており、ファストフォレンジックが担うのは初動対応になります。
インシデント発生時に企業が最初に取るべき行動は、問題の証拠集めではなく、被害の最小化です。ファストフォレンジックでは的を絞り、限定的に情報を収集することで、アラート発令やネットワーク隔離などを迅速に行い、被害を最小限に抑えることを目的としています。
デジタルフォレンジック調査の流れ
デジタルフォレンジックは、主に4つのセクションで構成されています。
(1)証拠を保全する
証拠保全は、調査対象となるデータの識別、ラベリング、記録、収集を行い、完全性の保護を目的とする工程です。
デジタルデータは誰でも簡単に加工できてしまうため、証拠能力を有するには、専用機器を使ってデータの改変ができないように保全する必要があります。
この際に重要となるのは、被害発生時の状態が保たれている点です。証拠の収集にはあらゆるログデータを活用するため、インシデント発生後にデータの改変が行われている場合、収集がスムーズにできない可能性があります。
そのため、データの改ざんができないように管理を徹底することが大切です。
(2)データの復旧や復元を行う
サイバー攻撃や情報漏えいが起きた場合、例えデータの保全を実施していたとしても、証拠となるデータが削除されている、あるいは盗用や改ざん防止用の暗号化が施され、データが読み解けない可能性もあります。
その場合はデータの復元・可視化を通じて、対象機器から情報を抽出し、各種データの整理を行います。具体的には破損データの修復、暗号化の解除、圧縮データの展開、情報のフィルタリングやタイムライン化などを行い、法的証拠能力を持てるレベルまで状態を復旧していきます。
(3)復元したデータの解析や分析を行う
データの解析・分析では、データの作成時期や作成者の特定、事案発生までに変更された回数や内容、アクセス履歴、アプリのインストール・実行履歴を細かく調べていきます。
専用のツールを使い、デバイスによる操作ログを詳細に掘り起こして、分析プロセスに基づいてデータを関連付けていくことで、証拠の発見につなげていきます。
(4)調査結果をレポートにまとめて報告する
調査で判明した事実をレポートにまとめ、提出する工程です。専門の弁護士による監修のもと、フォレンジック調査員によって作成されます。
このレポートには、調査の実態、解析されたデータ群、事実を立証する証拠などが細かく記載されています。そのため、法廷での証拠としてだけではなく、事実性を証明する資料として、社内のセキュリティ対策を強化する目的でも活用されます。
デジタルフォレンジック調査の費用
近年はビッグデータを扱う企業が増えたことにより、サービス提供者は要望や目的に応じてデジタルフォレンジック調査の内容をカスタマイズするようになっています。そのため、料金プランが数万円から数百万円と幅広く設定されることも珍しくありません。
とはいえ、大体の費用感が分からなければ、サービスの選定も難しいでしょう。ここではフォレンジック調査において、費用を決める要素について解説していきます。
フォレンジック調査の価格決定要素
フォレンジック調査の価格は、主に調査の範囲、難易度、付帯業務によって決まる傾向にあります。
#1:調査の範囲
フォレンジック調査の価格決定は、どの電子機器を対象とするのか、何台まで調査するのかという調査範囲が影響します。
例えばマルウェアに感染し、フォレンジック調査を依頼する場合、1台のPCだけを対象とするのと、部門全体で保有する全てのPCを対象とするのでは、作業量に大きな差が生まれます。
そのため、電子機器の種類や台数から大よその工数を算出することで、金額決定の判断材料としています。
#2:調査内容・難しさのレベル
調査対象の機器と台数が決まったなら、次はどのような調査を行うのかが重要になります。
例えば特定ファイルの復元・暗号解除と、サイバー攻撃によるネットワークや端末の調査・解析では、求められる技術レベルが異なります。
データの復旧だけで済むのか、原因を特定し、再発防止策を検討するまで対応するのかなど、具体的な依頼内容によって、金額は変動するでしょう。
#3:付帯する費用
フォレンジック調査は、一般的にデータの保全後に分析・解析を行います。
そのため、仮にデータ分析のみを依頼したい場合でも、プロセスの性質上、データの保全業務分の費用が上乗せされる可能性があります。
特に近年はストレージの大容量化やクラウドサーバーとの併用によって、保全対象となるデータが膨大に存在するケースは珍しくありません。
そのような場合は必然的に調査範囲が広がるため、データ保全の費用も高騰してしまう可能性があるでしょう。
フォレンジック調査サービスの価格例
フォレンジックは調査対象や目的などによって、料金プランや提供サービスが異なります。ここではフォレンジックサービスについて、主なサービスを4つご紹介します。
デジタルデータソリューション株式会社
デジタルデータソリューション株式会社が提供するフォレンジックサービスは、24時間365日のスピード対応を掲げ、緊急性の高いインシデントへの対応を強みとしています。
インシデントごとに専門チームが存在し、サイバーセキュリティやリーガルテックなどの幅広い支援が可能です。
対応領域の幅広さや信頼性の高さから、全国各地の警察・捜査機関をはじめ、法律事務所、官公庁、上場企業など、幅広いユーザーからの相談対応実績があります。
提供元 | デジタルデータソリューション株式会社 |
---|---|
料金プラン | 10,000円~ |
導入実績 | 累積ご相談件数14,233件以上(2022年5月時点) |
機能・特徴 | 社内不正調査 サイバーインシデント調査 パスワード解除 デジタル遺品調査 証拠データ復旧 |
URL | 公式サイト |
株式会社大塚商会
株式会社大塚商会が提供するデジタルフォレンジックサービスでは、内外の犯行によるデータ破損・削除の復旧・復元を専門ツールで行い、流出した情報の特定や捜査状況のレポートを提出します。
標的型攻撃など、サーバー攻撃に関する調査実績を豊富に持つサービスです。
提供元 | 株式会社大塚商会 |
---|---|
料金プラン | 1,320,000円~(台) |
導入実績 | 刑事事件における証拠鑑定実績あり データ復旧実績あり |
機能・特徴 | オンサイトによる証拠保全 被害端末のデータ復旧 原因調査/解析 |
URL | 公式サイト |
AOSデータ株式会社
AOSデータ株式会社が提供するフォレンジック調査は、データ復旧や画像・動画の解析に強みを持っています。
2016年には第10回ニッポン新事業創出大賞のアントレプレナー部門で経済産業大臣賞・公益社団法人日本ニュービジネス協議会連合会会長賞を受賞し、デジタルフォレンジックのサービス普及に貢献しました。
提供元 | AOSデータ株式会社 |
---|---|
料金プラン | 要問い合わせ |
導入実績 | 国際訴訟での支援実績あり(国際カルテル調査など) |
機能・特徴 | コンピュータフォレンジック モバイルフォレンジック 動画フォレンジック 自動車フォレンジック リモート監査FaaS eディスカバリーサービス インハウス・フォレンジック調査室 構築・運用支援サービス |
URL | 公式サイト |
株式会社くまなんピーシーネット
株式会社くまなんピーシーネットが提供するフォレンジックサービスは、証拠の収集・保全から、解析、報告までを一貫して行います。
データの保全・解析に強みを持ち、令和2年度地方発明表彰において、証拠保全装置「Simple SEIZURE TOOL for Forensic」が熊本県発明協会会長賞を受賞しています。
提供元 | 株式会社くまなんピーシーネット |
---|---|
料金プラン | 要問い合わせ |
導入実績 | 多種多様なメーカー製品のデータ保全・解析実績あり |
機能・特徴 | コンピュータフォレンジック スマートフォンフォレンジック レコーダーフォレンジック |
URL | 公式サイト |
万が一の脅威のためにデジタルフォレンジックを正しく理解
本記事では、デジタルフォレンジックの定義や種類、重要視される背景、証拠能力を担保するためのポイント、調査の流れや費用感について解説しました。
デジタル化が進み、インターネットにつながることが一般化した現代において、サイバー攻撃や情報流出のリスクは否が応でも付きまといます。
そのうえでセキュリティインシデント発生時の迅速な対応ができることは、企業として信頼性を保つことにもつながるでしょう。
デジタルフォレンジックを通じて、顧客データをはじめとする機密情報を適切に保護し、社会的信用の損失を回避するための対策を進めていきましょう。
デジタル化の記事をもっと読む
-
ご相談・ご質問は下記ボタンのフォームからお問い合わせください。
お問い合わせはこちら