全産業でサイバーセキュリティの重要性が高まっています。サイバー攻撃に対する製造業のリスクは特に高まっており、自社のサイバーセキュリティ能力の強化を急務と考える方は少なくないでしょう（詳しくは『製造業へのサイバー攻撃が増加する理由と対策のポイント』）。
本記事では、重要なサイバーセキュリティ用語の一つ「デジタルフォレンジック」について、その具体的な手法とともにご紹介します。

デジタルフォレンジックは“インシデントが発生した際に行う調査検証” その目的は？

「デジタルフォレンジック（digital forensic）」は、サイバー攻撃やデータ改ざんといったインシデントが発生した際に行う調査検証を意味します。「フォレンジック（forensic）」は法科学や鑑識を意味し、そこから転じて問題発生時の一連の調査検証にこの言葉が使われるようになりました。

デジタルフォレンジックは、以下に挙げるような目的で行われます。

• インシデントの原因特定
• サイバー攻撃やパワハラ・セクハラといった問題に関する証拠の保全
• 情報持ち出し、改ざんなど不正の調査・証拠の洗い出し
• インシデントが起こりにくい環境の構築

インシデントが起こった後の事後的な対応を、情報セキュリティ用語で「インシデントレスポンス」と言います。
デジタルフォレンジックはインシデントレスポンスの一種であり、その対象はサーバー、クライアントPC、モバイル端末から、ネットワーク機器、アクセスログ、クラウドまでさまざま。ネットワークが広がるとともにフォレンジックでカバーすべき範囲も拡大しており、IoTデバイスを対象に行う「IoTフォレンジック」という用語も生まれています。また、デジタルフォレンジックには、社内で行うフォレンジック、社外に依頼して行うフォレンジック、ツールを利用して行うフォレンジックなどがあり、取りうる手段を事前に洗い出しておく必要があります。

デジタルフォレンジックに関して提供されるサービスには「不正調査」「インシデント対応」「ファストフォレンジック」「訴訟対応支援」などの種類があり、独立行政法人情報処理推進機構はそれらを分類するとともに、経済産業省の定めた、情報セキュリティサービス基準を満たすと認定した、情報セキュリティサービス基準適合サービスリストを公開しています。

デジタルフォレンジックの5ステップと証拠保全の重要性

「デジタルフォレンジックはどう実行すればいいのか？」に話題を移しましょう。
目的にも左右されますが、大きく分けて、以下の5つのステップがデジタルフォレンジックには存在します。

1. 体制を整え、チームを組織する（事前準備）
2. データを収集・保全する
3. データの復元・復号を行う
4. データを分析・解析する
5. 事実をまとめ報告する

この中でも特に注目したいのが「1.体制を整え、チームを組織する（事前準備）」と「2.データを収集・保全する」のフェーズ。インシデント発生時にルールの周知やガバナンスが不徹底な場合、問題を一人で解決しようとする、隠ぺいを図るなどさまざまな目的で証拠が棄損されてしまうことが少なくありません。インシデント発生時にこそ報告系統を遵守し、速やかな状況把握と証拠の保全に着手することが求められます。デジタルデータを裁判などで用いる場合は、改ざんのリスクを否定する証拠を用意することも求められます。

社内の情報システムやガバナンス体制に深く関わるデジタルフォレンジックは、外部の専門家に任せていればよい、というものではありません。第三者の協力を得られる体制とともに、社内にデジタルフォレンジックの基盤を設けることが、これからの企業にとっての重要となってくるでしょう。

「ファストフォレンジック」とは？

デジタルフォレンジックの関連用語として、「ファストフォレンジック（fast forensic）」があります。その名の通り迅速さに重点をおいたファストフォレンジックでは、インシデント発生時の初動対応として問題発生箇所を迅速に特定し、報告までのステップを短縮することを志向しています。

その手法として挙げられるのが、収集・調査対象となるデータ範囲の限定、ネットワークを通じた「リモートフォレンジック」や「EDR（Endpoint Detection and Response：端末の検知＆レスポンス）」など。EDRは、対象のPCやスマートフォンといった端末（Endpoint）の状態およびネットワーク状況を常時監視し、不正やインシデントを即座に検知し反応できるようにするソリューションです。

ファストフォレンジックをセキュリティ戦略に組み込むことで、膨大なデータ量や調査の手間暇・コストの増加に対応しつつ、不正・インシデント時のリスクを低減することが可能になるでしょう。

“不正やインシデントは発生する”という前提でデジタルフォレンジックの準備を

サイバー攻撃が増加する現代に重要性を高めるデジタルフォレンジックの基本を解説しました。コロナ禍を背景にリモートワークが普及したことで、不正・セキュリティインシデントのリスクも一層高まりました。「ゼロトラスト」が現代のセキュリティの基本と言われる通り、“不正やインシデントは発生する”という前提で対策にあたることは欠かせません。いつでも適切な対応が取れるよう、今から準備を進めておきましょう。