早わかり講座
企業情報を守るセキュリティ対策（22）

フォレンジックで事件の証拠を保全する

2006.09.21

近年，個人情報漏えいなどのセキュリティ事故や事件が多発しています。これに伴って発生する訴訟などに備えるために，事故や事件の証拠を収集・保全することを考えなければならなくなってきました。そこで，多くの企業が注目しているのがフォレンジックです。

　最近フォレンジックという言葉を聞く機会が増えました。辞書で引くと「法廷の」「（犯罪の）科学捜査の」といった意味が載っています。情報セキュリティにおける「フォレンジック」の定義は，人により多少の違いがあります。しかし概して，「法的紛争の解決を目的とする情報の収集・解析といった一連の活動」と解釈することができるでしょう。

　フォレンジックの目的はいくつかあります。セキュリティにまつわる事故や事件が発生した際に，捜査に協力するなどのケースに備えて証拠を収集して保全したり，さまざまな情報を分析して原因や犯人を特定することなどです。こうした事故や事件に備えて，必要な情報を日ごろから記録しておくこともフォレンジックの一環です。

複数のツールを駆使して証拠保全に努める

図1 ネットワーク・フォレンジック製品の導入例
ネットワークを流れるデータをすべて保存できる場所に設置する。
[画像のクリックで拡大表示]

　セキュリティ事故や事件が発生した際には，ファイアウォールやサーバーなどのログを集め，事故や事件がどのようにして発生したかを追跡する必要があります。不正アクセスを行った攻撃者がログを消去したり，内部犯行者が証拠隠滅のために自身のパソコン上にあるファイルを削除するといったケースも想定されます。このような場合に備えて，ハード・ディスク上に残された情報の痕跡を解析したり，削除されたファイルを復元するツールの利用を考えておくべきでしょう。

　フォレンジックの一環となるハード・ディスクの解析や証拠の保全などは，高度な知識と経験を必要とします。そこで一般企業は，事故や事件の発生に備えて日ごろからきちんとログを記録することを第一に考えましょう。調査に必要なログを確実に記録するよう，サーバーやアプリケーション，データベースなどを設定しておきます。

　最近はネットワーク上を流れるデータをキャプチャして，大容量のハード・ディスクに記録する「ネットワーク・フォレンジック製品」も販売されています（図1）。

的確なログを残せるよう設定を変更

　記録するログは，事故や事件が発生した際に原因究明のための調査ができるかどうかを念頭に置いて設定します。

　例えば，顧客の個人情報を保管したデータベースから情報が漏えいした場合は最低でも，いつ，どのユーザー・アカウントで，どのIPアドレスからデータベースにアクセスしたかを特定する必要があるでしょう。また，社内の共有パソコンが情報漏えいに使われた場合などは，ログの情報から，どのIDのユーザーが操作したかを特定できなければなりません。

図2　Windows XPにおけるログ記録の設定方法
[画像のクリックで拡大表示]

　ほとんどの場合，サーバーやファイアウォールは障害発生に備えてログを記録しています。しかしデータベースやクライアント・パソコンは，必要なログが記録されていないことも多々あります。

　普段利用しているクライアント・パソコンも，ログオンした時刻，ログオンに成功あるいは失敗したアカウント名などを「イベントログ＊」に残すことができます。ただしWindowsの場合は，デフォルト設定の変更が必要です（図2）。ログが記録されていれば，他のユーザーが自分のパソコンに無断でログオンした，あるいはログオンをしようとして失敗したことまで把握できます。

　またログを記録するだけでなく，それを定期的にチェックすることも考えたほうがよいでしょう。このようなログの記録とチェックは，従業員の不正に対する抑止力にもなります。

情報収集中は証拠データの破損に注意

　証拠保全のためには，単に多くのログを残せばよいというわけではありません。証拠保全のためのルールを作成することが望まれます。証拠の保全・収集・解析といった一連の行動を取ったら，どのような作業をしたか逐一記録するようにしましょう。この記録自体が，裁判の証拠になる場合もあります。

　また情報の収集・分析といった活動により，誤って証拠となるデータを破損してしまい証拠能力が失われる危険性も，十分に配慮しなければなりません。そうなりかねない一例が，ファイルにアクセスした時刻を示す「タイムスタンプ＊」です。最後にファイルにアクセスした時刻は，重要な証拠となる場合があります。しかし調査の過程でファイルを開いてしまうと，タイムスタンプが更新されてしまいます。

　このようなことを防ぐためには，調査の前にハード・ディスクの完全な複製を作成し，オリジナルのハード・ディスクを厳重に保管する必要があるでしょう。

　実際の証拠保全や分析には多くの知識を必要とするうえ，緊急事態の中で落ち着いて作業を進めていく経験も必要です。このため重大な事故・事件が起きた場合は，まず専門家に相談したほうがよいでしょう。

菅谷光啓　NRIセキュアテクノロジーズ情報セキュリティ調査室長
鴨志田昭輝　NRIセキュアテクノロジーズ情報セキュリティ調査室セキュリティコンサルタント