企業がサイバー攻撃を受けるリスクが高まっている中、サイバー犯罪への対処や予防に必要とされているのが、フォレンジックです。

ここでは、フォレンジックの種類や企業の情報漏洩に対するフォレンジックの重要性、調査プロセスのほか、フォレンジックを行う上での課題について解説します。

フォレンジックとは犯罪捜査における分析や鑑識などを行うこと

フォレンジック(Forensics)とは、もともとは英語で犯罪捜査における分析や法医学における鑑識捜査、科学捜査などを指す言葉です。サイバー犯罪におけるフォレンジックはデジタル・フォレンジックともいい、サイバー犯罪の被害に遭った際に、パソコンなどのデジタル記録媒体の中に残された情報を収集し、被害状況の解明や原因究明、犯罪捜査に必要な証拠を見つけ出すことを指します。

フォレンジックでできること

フォレンジックでは、証拠保全、データ解析、情報抽出、報告という4つのプロセスを通じて、下記のようなことが行えます。

 

<フォレンジックでできること>

・ログから違法行為を割り出す

・消去されたデータを復元する

・データの捏造を調べる

 

フォレンジックは、「いつ、どこで、誰が、何を行ったか」を明らかにする方法です。データが消去されたり改ざんされたりしている場合は、元のデータの復元まで行われます。フォレンジックは、サイバー犯罪の被害に遭った場合の原因究明に役立つほか、企業のデータ保全や改ざん防止といったリスク回避、不正行為の予防などにも活用できます。

フォレンジックの種類

フォレンジックは何を調査対象とするかによって種類が分かれます。主に下記の3種類に分けられます。

コンピュータフォレンジック

コンピュータフォレンジックでは、パソコン本体に記録されているデータが調査対象です。

削除されたデータの復元や、外部メモリーが接続された痕跡の調査が行われます。例えば、社内で起きた横領事件の不正調査や、企業の持つ機密情報の持ち出しに対する調査などで活用されます。

ネットワークフォレンジック

ネットワークフォレンジックでは、ネットワーク上のパケットデータやメールの送受信、ウェブサイトの閲覧履歴などが調査対象です。

「いつ、どのような経路で、どの端末が、何のデータを送受信したのか」を記録・保全・分析します。情報漏洩やマルウェア感染の経路特定、ハッキング・不正アクセスの痕跡の保全、データ通信履歴の調査・解析などで活用されます。

モバイルデバイスフォレンジック

モバイルデバイスフォレンジックでは、スマートフォンなどのモバイル端末が調査対象です。

調査内容は、発着信履歴のほか、メール・SMS、画像・動画、GPSの位置情報、使用履歴、アクセスログなど多岐にわたります。コンピュータフォレンジックと同様、不正アクセスや機密情報の漏洩などの調査で活用されます。

企業の情報漏洩に対するフォレンジックの重要性

法務省によると、2022年の不正アクセス行為の認知件数は2021年比約45.1%増の2,200件でした。不正アクセス行為の認知件数は過去20年以上の調査結果を見ると、数年の間隔で増減を繰り返しています。今後も、新たな手法によって不正アクセス件数が増加する可能性も考えられるのです。

警察庁によると、「政府機関や国内企業等の運営するウェブサイトが一時閲覧不能になる事案が発生」「サイバー空間における探索行為等とみられるアクセス件数は継続して高水準で推移している」と報告されています。

 

さらに、日本のデータ通信量は右肩上がりに伸び続けています。通信量の増加は、利用者の増加や扱うデータの種類などの増加も意味し、その分、情報漏洩のリスクも高まります。そのため企業は、不正アクセスによる情報漏洩に対処するため、外部からのサイバー攻撃や内部からの情報の持ち出しなどさまざまな場面を想定して、対策をとる必要に迫られているのが現状です。

フォレンジックは、不正アクセスや機密情報の漏洩が起きていないかどうかのチェック、原因の特定、訴訟に備えた証拠集めに役立ちます。このため、一般企業においても、フォレンジックの必要性・重要性は、年々高まっているといえます。

 

出典:「令和5年版犯罪白書」(法務省)

出典:「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)

フォレンジックの調査プロセス

フォレンジックの調査は、証拠保全、データ解析、情報抽出、報告という4つのプロセスで進められます。それぞれの過程について説明します。

1 証拠保全

証拠保全は、初動としてとても重要なプロセスです。

不正アクセスなどの事故に発展する可能性のある危機(インシデント)が発生したら、発生時の状況を把握した後、データが残されているパソコンなどの記録媒体を収集し、証拠を保全します。証拠保全には、デュプリケータと呼ばれる特殊なツールを使って行い、記憶媒体内のすべてのデータを完全にコピーします。

2 データ解析

データ解析は、証拠保全でコピーしたデータを分析できる状態に整える工程です。

例えば、データの作成日時や更新日時といった情報をもとにファイルを時系列に並べる、レジストリ解析などによりプロセス実⾏時刻を洗い出すといった作業を行うことで、データを「人が読み解ける状態」に整えます。削除されたデータの復元もここで行われます。

3 情報抽出

情報抽出は、データ解析で整えたデータの中から、調査の目的に応じて必要な部分を見つけ出し、原因を特定・検証する工程です。

例えば情報漏洩の調査なら、現存するファイルや故意に削除したファイル、インターネット閲覧履歴、パソコンに接続された外部ディスクの履歴などのデータを抽出します。それらを分析し、実際に情報が漏洩したのか、何が原因だったのかといったことを特定します。

4 報告

報告は、調査プロセスにおける最終段階です。

情報抽出で抽出したデータと分析結果を整理し、報告書を作成します。この報告書を事例として活用し、今後の情報セキュリティ対策の強化に役立てます。

フォレンジックの課題

フォレンジックは、企業がサイバー犯罪に対応する際に、非常に役立つ取り組みです。しかし、次のような課題も抱えています。

時間がかかる

フォレンジックの課題のひとつは、時間がかかることです。

フォレンジックを実施するには、膨大なデータを収集・保全し、データ解析をします。調査を担当する調査会社やデータ量などによって異なるものの、今後は取り扱うデータ量が増えることで調査範囲が拡大し、調査日数が増えることが想定されます。

調査対象が多い

調査対象が多いということも、フォレンジックの課題として挙げられます。

近年は、モバイルデバイスやクラウドなどフォレンジックの対象が増加しているため、そこに格納されているデータ量も膨大です。そのため最近では、対象を必要最小限のデータに絞る、対象の端末にあらかじめネットワークフォレンジック製品を導入しておくといった対策で、データ収集の自動化・効率化を図る方法が注目されています。

社内での対応が難しい

フォレンジックの課題として、そもそも社内での対応が難しいことも挙げられます。

フォレンジックを行うには、パソコンやネットワーク、情報セキュリティ、法律に関する幅広い知識が不可欠ですが、社内にそのような人材がいる企業は多くはありません。調査会社に依頼しようにも、調査会社を探せない、調査会社を見つけてもその調査能力を判断できない、費用が適正かどうかわからないという場合が多く、フォレンジック導入の高いハードルとなっています。

スムーズなフォレンジック実施のために保険を利用しよう

企業がサイバー攻撃を受けるリスクが高まっている中、フォレンジックの必要性・重要性は増すばかりですが、「どこに依頼すればいいのかわからない」「価格が適正かどうか判断できない」などの問題から、導入に踏み切れない企業は少なくありません。そんな場合におすすめなのが、信頼できる調査会社の案内を含む、サイバーリスクに対応した保険に加入することです。

 

AIG損保では、サイバーリスク補償をご用意しています。サイバー攻撃と個人情報への備えとして、加入をご検討ください。

MKT-2024-506

「ここから変える。」メールマガジン

経営にまつわる課題、先駆者の事例などを定期的に配信しております。
ぜひ、お気軽にご登録ください。

お問い合わせ

パンフレットのご請求はこちら

保険商品についてのご相談はこちらから。
地域別に最寄りの担当をご紹介いたします。

キーワード

中小企業向けお役立ち情報