最終更新日:2023-12-19
セキュリティインシデントの発生に備えて、データの収集・保全・解析などを速やかに・確実に行いたいと考えている方へ。ここでは、フォレンジックツールのタイプとそれぞれの違い、具体的な使い方を紹介します。
フォレンジックツールとは、コンピューターやスマホなどのデジタルデバイスにある情報を調査・解析するためのツールです。
たとえば、情報漏えいが起こった際に従業員のPC・スマホのデータを収集・解析して原因を究明。後の裁判に役立つ法的証拠を発見・保全したり、ウイルス感染があった際に被害状況を把握したりして感染源を特定する、といった形で用いられています。
もともと「フォレンジック」とは、「法医学」に関連した言葉で、犯罪捜査や法的係争などにおいて法的な証拠を探すための鑑識捜査のことを指す言葉です。それが近年サイバーセキュリティの領域に転じて、端末やネットワーク内の情報を収集・調査・分析することを「(デジタル)フォレンジック」と言い表すようになっています。
従来のフォレンジックは、何かあった時の真相解明のための捜査手法の一環として、警察や弁護士などの一部の専門家での利用にとどまってきましたが、近年では「企業コンプライアンスの高まり」や何かあった際の「インシデントレスポンス(初動捜査)の重要性」を受けて、民間企業での導入も増えています。
ツールによっても差がありますが、フォレンジックツールの基本機能としては以下のようなものが挙げられます。
データの収集 | 分析の対象となるスマホなどのデバイスやPC内のシステムからデータを収集 |
---|---|
データの復元 | 削除・消失してしまったデータの復元や、暗号化されているデータを解読 |
証拠保全 | 証拠能力を担保するため、改ざんできない状態に変換(暗号化など) |
調査・解析 | 収集・保全、復元したデータを閲覧・解析できる形に変換し、分析 |
レポート | データの調査・解析で得られた情報をまとめ、レポートを作成 |
フォレンジックツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
フォレンジックツールの導入には、以下の2つの目的が挙げられます。
それぞれどのような内容なのか、具体例と共に見ていきましょう。
ハイテク犯罪や情報漏えい事件などの不正行為発生後は、実態を把握し、原因を究明しなければいけません。「いつ・どこで・誰が・何を行ったのか」「どのような攻撃を受け・何が・どうなったのか」などを明らかにする必要があります。そのために活用されるのがフォレンジックツールです。
フォレンジックツールは、特定のインシデント事案が起きていない場合にも活用できます。不正行為の発生を抑止するなど、社内の内部統制を図る際には効果的です。また、定期的にフォレンジックを用いた監査を行うことで、インシデント発生後の対応を迅速に行えます。
フォレンジックツールは特徴や強みによって、いくつかにタイプ分けできます。重要なのは、「何をどうしたいのか」という導入の目的をはっきりさせることです。
まず、既に社内の不正行為や外部からの不正アクセスなどがあり、実態把握や原因究明を行うために導入するケースを想定します。その場合、専用フォレンジックツール、もしくは専用フォレンジック調査サービスの利用がおすすめです。
専用フォレンジックツールとは、データの収集・復元、保全、解析・調査、レポートなどフォレンジック機能に特化したツールです。たとえば「X-Ways Forensics」は、フォレンジックに必要な機能を一通り搭載しています。専門知識がなくても一連の作業を簡単に行えるのが特徴です。
一方、今すぐに対応が迫られているなど緊急度が高い場合は、フォレンジックの専門エンジニアに調査を一任する専用フォレンジック調査サービスの利用をおすすめします。たとえば「デジタルデータフォレンジック」は、インシデントケースごとに専門チームがあり、初動対応も迅速に行われます。一刻も早く状況を把握したい場合に、専任のスタッフがスピーディーに対応してくれるので安心です。
次に、セキュリティ対策や内部統制を行う一環として、フォレンジックツールを導入したいケースです。この場合、専用フォレンジックツールではなく、フォレンジック以外にもセキュリティや内部統制強化に向けて汎用的に利用できるツールを導入するといいでしょう。たとえば、以下のようなタイプがあります。
ログ管理システムとは、コンピューターシステムが出力したログを収集し、検索・分析しやすい形で保管するシステムです。PCに標準で備わっているログ収集よりも更に詳しい情報を収集できます。たとえば、「MylogStar」は、証跡管理に必要なログをすべて取得可能です。また、収集データを分析しレポート表示されるので、フォレンジックツールとしても活用できます。
エンドポイントセキュリティとは、PC、サーバー、社内LANなどをサイバー攻撃から守るためのセキュリティ対策のことです。たとえば「Symantec Endpoint Security」は、通常のセキュリティ機能に加え、機械学習を用いたフォレンジック機能があります。社内外の端末への脅威検知や、クラウドベースの攻撃を検出でき、インシデント分析が可能です。
フォレンジックツールの比較ポイントには、以下の3つが挙げられます。
3つそれぞれのポイントについて、サービス例を交えながら解説します。
フォレンジックに必要な機能や性能は、調査目的によって異なります。「データの収集・復元だけで足りるか」、「それとも解析調査やレポートまで必要か」など想定される事案と照らし合わせた上で、自社に合った機能を備えたものを選ぶことが重要です。
また、裁判などの法的な場で証拠として用いたい場合は、単にデータを収集・復元するだけでは不十分です。データの改ざんや消去を防止するための機能や、証拠として提出するための機能が必要となります。
たとえば、「MSAB Office」は、取得データを暗号化することによってデータ改ざんを防止でき、証拠性を担保できます。証拠保存、提出に活用できるカメラ機能があるのも特徴です。
デバイス・データなどのフォレンジックすべき対象は、企業やインシデントによって異なります。また、どのデバイスやデータに対応しているのかも、フォレンジックツールにより異なります。起こりうるインシデントに対応できるかどうかを想定して、ツール・サービスを選ぶ必要があります。
デバイスに関しては、PC、スマホ、タブレット、各種サーバー・NAS、リムーバブルメディアなど。データであれば、ファイルシステム、メモリ、ログ、ネットワークトラフィック、アプリケーションデータといった種類が挙げられます。広範囲に対応しているのが理想ですが、重要なのは自社で多く取り扱うものが含まれているかです。
たとえば、「WDR Forensic サービス」は、スマホなどのモバイル端末だけでなく、ドライブレコーダーなど特殊デバイスにも対応しているのが強みです。また「MSAB Office」は、28,000台以上のデバイスとアプリをサポートしています。
データの収集・証拠保全だけでなく、解析調査・レポート作成まで行いたい場合は精査が必要です。動画、メール、画像、ログ、レジストリなど、解析対象はツールによって異なります。それぞれの機能が、要望に足るものであるかどうかを見極める必要がありますし、レポートを作成する上で望んだ通りの切り口で分析できるかもチェックが必要です。
たとえば「X-Ways Forensics」は、メール、動画、画像、イベントログ、レジストリなど解析対象が広範です。解析ファイルを任意のカテゴリに分類できるなどレポート機能も充実しています。
(出所:AOSファイナルフォレンジック4.0公式Webサイト)
データ保全、復元、解析、検索から分析レポートを作成するデータフォレンジックツール。専門的で高度な作業を、メールソフトのようなわかりやすいインターフェースと完全日本語対応で操作できる。
EnCase、FTK Imagerで作成したイメージファイルも高度な解析機能で、スピーディーかつ効率的に全体把握できる。警察の証拠調査で培った強力な復元力が特徴。デジタルカメラや携帯電話など、モバイル機器のリムーバブルメディアで断片化してしまったファイルも復元できる。
(出所:X-Ways Forensics公式Webサイト)
フォレンジックに必要な機能をオールインワンで備えたコンピューターフォレンジックツール。世界の35,000以上の企業、組織で採用されているが、プログラムのオプションやPDFマニュアル、ヘルプは日本語に対応。ドリルダウン方式を採用し、専門家でなくても簡単に操作できるのが特徴。
フォレンジック機能だけでなく、ディスクの保全やデータの抹消も行える。Windowsイベントログやメール、文書データなどを復元・解析できる。多数の画像を並べて表示するギャラリーモードなど、解析を短縮する工夫が施されている。
(出所:MSAB Office公式Webサイト)
スマホ・携帯端末の証拠保全におすすめのフォレンジックツール。世界100カ国以上の警察・法執行機関などで採用されており、イギリス警察においては100%近い導入率を誇る。取得したデータはすべて暗号化されるため、データ改ざんが不可能で確実な証拠性を担保。同梱の専用ハブを使用すれば、同時に複数端末のデータを取得でき、複数人で並行して調査・解析をする際に有効。
オプションで、クラウド上のSNS等のデータ取得できる機能や、証拠保存に役立つカメラ機能もある。中国製のチップセットを搭載した端末から、データを物理取得する機能も使える。
(出所:CDIR公式Webサイト)
日本語環境のオープンソース仕様のため無償で使えて、シンプルな操作性が特徴のフォレンジックツール。初動対応の支援を目的としており、データ収集用ツールのCDIR-Cと、データ解析を行うファストフォレンジックツールから成る。
CDIR-Cは、端末の汚染(攻撃痕跡の上書き)や業務への悪影響を最小限に抑えつつ、フォレンジックに必要なデータを収集。CDIR-Aは、CDIR-Cで収集した複数端末の情報を一元的に解析可能。マルウェアの挙動や情報窃取可能性、被害の影響範囲、暫定対処に必要な情報を迅速に把握できる。
(出所:Jasmy Secure PC公式Webサイト)
独自のブロックチェーン技術を活用したセキュリティ強化ツール。情報漏えい対策などのフォレンジック以外にも、従業員のパフォーマンス管理が行える。たとえば、「エージェント」アプリで、ログの収集と暗号化されたドライブ管理、外部デバイスとの接続管理を行う。「マネージャー」アプリでは、エージェントから得た情報を閲覧し、エージェントを経由して機器を遠隔操作できる。2つを必要に応じて組み合わせて利用するが、単独でも使用可能。
「ドライブレコーダー」機能では、ファイルの閲覧履歴など、PCの操作を記録し、社員の業務状況を可視化。特定の条件下でしかマウントされないドライブでデータを安全に管理する「ゴーストドライブ」機能で情報漏えいを防止する。社員の稼働状況やアクセス履歴をリアルタイムに確認できる「リモートハンドリング」機能もある。
(出所:MylogStar公式Webサイト)
eメール、インターネット、ファイルの操作など、業界トップクラスの15種類のPC操作記録を取得できるログ管理ツール。ログオン・ログオフやファイル操作をはじめとする、証跡管理に必要なログをすべて取得可能。アプリケーションや環境に依存せずOSの挙動を取得でき、監視レベルが高い。
社内サーバーでほぼすべての情報を管理できるシンクライアント環境に対応。情報漏えい対策や、クライアント環境の一元管理を実現できる。分析レポート機能(アラート、PC利用状況等)や、業務効率化支援オプション(メール相関分析等)もあり、ログ分析にも有用。
(出所:Harmony Endpoint公式Webサイト)
EPP(エンドポイント保護)とEDR(エンドポイント検知と対応)両方の機能を兼ね備えた統合セキュリティツール。業界トップクラスの高度なセキュリティ技術で、未知のマルウェアやゼロデイを遮断。振る舞い検知から原因調査のためのフォレンジック分析まで幅広く対応可能。
アンチランサムウェアは、動作の検出、攻撃を詳細に分析して完全にブロック。暗号化されたファイルは自動的に回復する。フィッシングサイトへのアクセスもリアルタイムで検知、ブロック。
(出所:Symantec Endpoint Security公式Webサイト)
エンドポイントセキュリティの統合プラットフォーム。マルウェア対策機能を備えた「Symantec Endpoint Protection」に更なるセキュリティ機能を追加。AI主導のポリシー管理により、すべてのエンドポイントを保護しセキュリティ体制を最適化する。クラウド上でエンドポイント管理するので、社外の端末を含めた脅威への対応が可能。
フライトデータレコーダー機能は、エンドポイントの活動状況に応じてイベントを検出。機械学習を用いた振る舞いフォレンジックス機能で脅威を検知。標的型クラウド分析機能でクラウドベースの攻撃を検出し、インシデント分析できる。オンプレミスとクラウドを組み合わせたハイブリッド管理にも対応。
(出所:WDR Forensicサービス公式Webサイト)
高度なデータ復旧サービス「WinDiskRescue」が特徴的なデジタルフォレンジックサービス。証拠の収集・保全から解析・報告までオールインワンで行える。証拠保全サービスは司法機関や民間企業での実績多数。
スマホ、タブレットなどのモバイル端末、また監視カメラやドライブレコーダーなど、特殊デバイスのフォレンジック対応に特化。業者向けにフォレンジック専門ツールの販売も行っている。
(出所:デジタルデータフォレンジック公式Webサイト)
社内の不正調査やマルウェア感染、情報漏えいなど幅広く手掛けるフォレンジック調査サービスを提供。データ復旧技術は国内トップクラスで、復旧率最高値は95.2%。官公庁、上場企業、大手保険会社、法律事務所などから個人の案件まで、累計相談件数32,000件以上と幅広い支持を受けている。
社内不正やサイバー攻撃といったインシデントケースごとに専門チームが対応。最短2時間で行うデータの保全も特徴的。世界標準レベルのセキュリティ品質を証明するISO/Pマークを取得。社内スタッフに対しても国際空港並みの厳重なセキュリティチェック体制を整備しているので安心。
(出所:フォレンジック調査サービス公式Webサイト)
日本でのeディスカバリ(電子証拠開示)支援におけるパイオニア的存在。行動情報科学に裏付けされたテクノロジーが強みで、国外10拠点の多様な人的ネットワークを駆使し、国際的な事案にも対応可能。国際訴訟、不正調査の実績は10,000件以上。
自社開発した独自のAIエンジン「KIBIT」により、データ調査の網羅性と効率性を実現。PC・スマホなどの各デバイス・システム内のログファイル、ビッグデータ解析まで対応。大量ドキュメントの調査も効率化できる。それぞれの案件の言語に合わせたネイティブスタッフが対応してくれるのも強み。
(出所:デジタルフォレンジックサービス公式Webサイト)
エンドポイント製品の開発ノウハウを活用し、インシデント要因を究明するフォレンジック調査サービスを提供。単にサービスを提供するだけでなく顧客との対話の中で課題を見つけ、共に解決することを目指す。
コンピューター、ネットワーク、外部メモリなどから情報を収集・解析。オプションで、マルウェア解析やダークウェブ上に情報漏えいしていないかの調査も可能。今後の対応策や再発防止策などコンサルティングも行っている。
(出所:デジタルフォレンジックサービス公式Webサイト)
犯罪捜査の証拠捜査などに豊富な支援実績を持つフォレンジック調査会社。国内企業と海外企業との訴訟支援などにも実績がある。スマホ・携帯電話の削除復元、PC、RAIDサーバーなどのフォレンジック調査を実施。最先端の動画解析力で、監視カメラやドライブレコーダーなどの証拠データ調査も提供。
フォレンジックの初期調査を高速で行えるツール「AOS Fast Forensics」も提供しており、特殊なフォレンジック技術がなくても、USBメモリを調査対象に挿入するだけで簡単に調査できる。慎重かつスピーディーな対応が求められる第三者委員会の調査もサポート可能。
(出所:デジタルフォレンジック公式Webサイト)
サイバーインシデント発生後の経緯や背景調査、社内不正が疑われる事案のデジタル証拠収集・調査を提供。PCやサーバー、各種ネットワークログなど目的に応じて精緻な解析と調査報告を実施。保全検体からマルウェアの特性を調査し、被害範囲や被害予測をレポーティング。
解析ツールの診断に加えて、専門フォレンジッカーによる目視・手動調査でダブルチェック。脆弱性診断や、擬似的な攻撃を行いセキュリティ対策状況を評価するペネトレーションテストなども行っている。
フォレンジックツールは、内部不正やサイバー攻撃などの特定のインシデントに対して、データの収集や保全、復元、調査・解析、報告を行うことのできるツールです。実際に有事が実際に起こった際の実態把握と原因究明だけでなく、抑止・監視を目的として利用することもできます。
フォレンジックツールは、強みを発揮できるインシデント事案によっていくつかのタイプに分けられます。既にサイバー攻撃や社内において不正行為が発生してしまっている場合は、専用フォレンジックツールの利用がおすすめです。更に、早急な対応が必要なケースでは、専門フォレンジック調査サービスが役立ちます。
具体的なセキュリティ事故は起きていない場合でも、不正抑止策やセキュリティ強化としてツールは有用です。その場合、フォレンジックも行えるログ管理システムやエンドポイントセキュリティなどの汎用ツールもあります。
ある程度タイプが定まったら、以下のポイントを押さえて自社に合ったツール・サービスを絞り込むとスムーズです。
フォレンジックツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
EPPとEDRを兼ね備えた総合セキュリティ。脅威対策や不正アクセス防止等の感染を未然に防ぐ対策から、感染後の対策・調査までHarmony Endpointひとつ...
Symantec Endpoint Security|インタビュー掲載
SB C&S株式会社
EPP・EDRに先進防御を備えたエンドポイントセキュリティサービス。クラウド管理で社内外にあるPC やモバイルデバイスを一括管理可能(オンプレミスとのハイブリッ...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。