写真●NetEvidenceの検索画面。「DHCP環境における機能強化テンプレート」を適用して端末ごとの通信履歴を表示させた
写真●NetEvidenceの検索画面。「DHCP環境における機能強化テンプレート」を適用して端末ごとの通信履歴を表示させた
[画像のクリックで拡大表示]

 オーク情報システム(OakIS)は2012年3月1日、ネットワークフォレンジック装置「NetEvidence」の機能拡張オプション「DHCP環境における機能強化テンプレート」(写真)を出荷した。同オプションを適用することで、MACアドレスやWindowsのコンピュータ名をキーに、IPアドレスではなく端末単位の通信履歴を時系列に表示できる。

 前提となるNetEvidenceは、ネットワーク上を流れるパケットをすべてキャプチャして蓄積するフォレンジック装置である。特徴は、パケットそのものの保存に加えて、メールやHTML文書など、パケットを再構成して得られるデータの単位で保存する点である。キャプチャしたタイミングでデータを再構成することで、蓄積データ量は多くなるものの、データの検索が容易になる。

 今回、NetEvidenceの機能を拡張するオプションとして、IPアドレスベースではなく端末固有の情報(MACアドレスやWindowsのコンピュータ名)を元に、通信履歴を表示できるようにした。従来は、MACアドレスなどの情報は、IPアドレスに紐付いた属性情報として表示しているだけに過ぎず、MACアドレスなどをキーにして履歴を検索することはできなかった。

 オプション単体の価格はオープン(目安として50万円程度)。フォレンジック装置の現行製品「NetEvidence Ax Ver.3.1」の価格は、ハードウエア仕様を抑えた最小構成モデル(1日当たりのパケット流量の目安が25Gバイトまで、データ保存用の外部NASを含まず)で、355万5000円(税別)。

POP3メールの一括取得とHTTPS POSTデータ取得もオプション対応

 なお、今回追加したDHCP環境向けのオプションのほかに、以下に示す2つの機能拡張オプションを出荷済み。いずれも価格は、上述したDHCP環境向けテンプレートと同様にオープン(50万円程度)。

 (1)「【POP3】メール一括エクスポートテンプレート」は、企業の受信メールを一括して抽出するオプションである。POP3通信をキャプチャしてメールデータを再構成する。

 (2)「【HTTPS】POSTリクエスト検索テンプレート」は、SSL化された任意のWebアクセスにおいて、POSTメソッドで送信されたデータを取り出すオプションである。デジタルアーツのフィルタリングソフト「i-FILTER」とWebプロキシサーバーの間のiCAP通信をキャプチャする。