社内システムへの不正アクセスや,社内からの情報漏えいの証拠をつかむ――。そのための専用製品が充実してきた。「フォレンジック」製品である。ネットワークを流れるすべてのデータを記録し,実際のやり取りを再現できる。不正な通信の内容を立証できる強力なツールだ。
![]() |
表1●国内で入手可能な主なフォレンジック製品 |
例えば日本ネットワークアソシエイツは6月,「InfiniStream Security Forensics」というアプライアンス製品を発売。セキュリティフライデーも6月にWindowsネットワーク向けの「VISUACT」を発売した。
先行したNetDetectorとMSIESER,PacketBlackHole(PBH)は,すでに国内の金融機関やデータセンター事業者,自治体などへの導入実績があるという。1000万円以上の高価なものもあるが,製品によっては数十万~数百万円と,中小企業にも手が届く。
不正侵入もメール内容も分かる
![]() |
図1●フォレンジック製品を導入すると不正アクセスや機密漏えいの証拠を収集できる フォレンジック製品は,ネットワークを流れるトラフィックのデータをリアルタイムにディスクに記録・保存する。記録したデータを基に,実際にどんな通信があったかを再現する機能を備えるため,不正アクセスや情報漏えいの証拠を抽出できる。 |
フォレンジック製品の特徴は2つある。1つは,あるネットワーク上を流れるすべてのデータをリアルタイムにキャプチャし,ハード・ディスクに記録できる点(図1[拡大表示])。パケット・キャプチャなら,IDS(侵入検知システム)やLANアナライザでもできる。ただ,フォレンジック製品は,数十G~数T(テラ=兆)バイトの大容量ハード・ディスクを内蔵するなど,長時間にわたってトラフィックを記録できる。
もう1つの特徴は,記録したデータを基に,ネットワーク上でどんなやり取りがあったかを再現できること。例えば,だれかがWebサーバーなどに不正アクセスを試みた形跡がないか分かる。データが暗号化されていない限り,エンドユーザーが閲覧したWebページや送受信したメールの内容も再現できる。添付ファイルについても,管理コンソール上に対応アプリケーションが搭載されていれば,ファイルを開いて内容を確認できる。
つまり,キャプチャしたデータから不正アクセスや情報漏えいの痕跡を探り出せる。このため,不審なトラフィックがある場合には,そのデータをやり取りしたユーザーに対して証拠を突きつけられる。また,監視していることを社員などに通知しておくことで,情報漏えいの抑止効果も期待できる。
IDSを補完するツールとしても役立つ。管理者はIDSのアラートが出るたびに,対象システムのログをチェックするなど,即座に痕跡を確認しなければならない。IDSは誤検知も多く,運用には手が掛かる。フォレンジック製品を使えば,キャプチャ・データから痕跡を探せるため,負担は軽くなる。
違いは解析機能や対応アプリ
ただ,基本的な仕組みは同じでも,製品によって違いはある。例えばNetDetectorは,トラフィックをキャプチャすると同時に,送信元/あて先アドレス,ポート番号,時刻などの情報を含む統計情報をリアルタイムに計算する。このため,ブラウザでNetDetectorにアクセスすると,即座にこれらの統計情報を閲覧できる。
これに対して,InfiniStreamは,管理コンソール上で生データを解析する。このため,長期間のトラフィックを対象にすると,数十Gバイトものデータをダウンロードして解析することになり,処理にかなりの時間がかかる。
キャプチャ能力の違いもある。メーカーの公称では,InfiniStreamは1Gビット/秒以上でもデータを取りこぼさない。これに対して,NetDetectorは今のところ,500Mビット/秒前後が上限になりそう。100Mイーサネット環境では支障はないが,ギガビット・イーサネット環境でのピーク時などにはデータを取りこぼす可能性がある。PBHの場合は,高速ネットワーク向けに,複数台をクラスタリングできるようになっている。MSIESERは,今のところ100Mイーサネットまでの対応である。
再現できるアプリケーションの種類も,製品によって違う。例えばVISUACTはWindowsネットワーク向けの製品。Windowsネットワーク上のどのユーザーがサーバー上のファイルを読み出したかなどが分かる。
一方,NetDetectorとInfiniStream,MSIESER,PBHは,HTTPやSMTPといったインターネット・プロトコルが対象である。ただし,Telnetやインスタント・メッセージ,VoIP(IP電話)など,製品によって対応状況が異なるアプリケーションがある。