【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第10回フォレンジック［前編］

（2005年10月03日）

　最近、コンピュータ・セキュリティの世界で注目を集めている手法の1つに、フォレンジックがある。フォレンジックは、一般的に、セキュリティ事故の発生に際して、コンピュータやネットワークを調査し、証拠となるデータを取得・解析するために用いられることが多い。ただし、比較的新しい概念であるため、これを正しく理解しているユーザーはさほど多くはないようだ。本連載では、2回にわたり、このフォレンジックを取り上げる。今回は前編として、フォレンジックの定義を明らかにしたうえで、セキュリティ対策全体における位置づけ、証拠保全を行う際のポイントについて解説する。

鈴木武
ネットワンシステムズ

フォレンジックの定義

　フォレンジックは、セキュリティ業界ではだいぶ定着してきた感があるが、一般ユーザーにとってはまだまだ耳慣れない言葉であろう。

　フォレンジック（forensic）は、「法廷（弁論）の、討論の」という意味の形容詞で、これを用いた言葉としては、「forensic science」（「科学捜査手法」や「法医科学」という意味）がある。

　コンピュータやネットワークの普及とともに、それらにかかわる犯罪捜査においても、従来より科学捜査手法として利用されてきたフォレンジック的な手法が導入され始めた。フォレンジックがコンピュータ・セキュリティにおいて用いられる場合、以下の目的を実現するための手段とされることが多い。

セキュリティ事故が発生した情報システム上における証拠の保全
セキュリティ事故が発生した情報システム上の被害状況調査、証拠解析

　本来の言葉の意味と、上記の「証拠」という言葉をキーに考えると、フォレンジックは、組織におけるコンピュータ犯罪に対する訴訟への対応策となるが、場合によっては、不正アクセスに関する調査作業として広義に使われることもあり、確固たる定義が存在していないのだ。筆者の知るかぎり、いまだ、フォレンジックを的確に言い表した日本語表現は見当たらない。

　昨今、企業による情報漏洩事件が頻発しており、どの企業にとっても他人事ではない状況だ。そこで、情報漏洩事件を引き起こしてしまった場合に企業としての説明責任を果たすための手段として、「不正アクセスの調査」や「セキュリティ事故における証拠の保全」を何らかの方法で可能にするものという漠然としたイメージから、フォレンジックへの関心が高まっている。現在、企業がフォレンジックを導入する動機、目的としては、以下の2つが考えられる。

損害賠償請求訴訟などへの対応に用いる
損害賠償を請求する側が訴訟を起こす準備に用いる

セキュリティ対策におけるフォレンジックの位置づけ

　フォレンジックのおおよその定義を整理できたところで、より理解を深めるために、他のセキュリティ対策との関係を見てみよう。

　図1は、コンピュータ・セキュリティ・インシデント（コンピュータ・セキュリティに関する事象。以下、インシデント）を中心に、その対策の一部を示したものだ。インシデントへの事後対応はインシデント・レスポンスと呼ばれる。なお、インシデントについては2ページのコラムを参照されたい。

　この図に示したように、フォレンジックはインシデント・レスポンスの一部プロセスと見なすことができる。そのため、フォレンジックで行う作業は必然的にインシデント・レスポンスを軸に考えることになり、フォレンジックの導入にあたって、まずは、インシデント・レスポンスを適切に行うための体制を整備する必要がある。

　また、図1で、インシデント・レスポンス体制の下にセキュリティ・マネジメント体制が配置されているのには、次のような理由がある。それは、企業や組織において、フォレンジックにより保全したデータを基に訴訟を起こすことや、インシデント・レスポンスの実施体制を構築することを考えた場合には、技術的手法の導入に加えて、組織・人・物理的な面での対策も必要となり、それらはすべて組織全体で取り組むセキュリティ・マネジメント体制の下で行われなければならないからだ。

　つまり、フォレンジックを導入するうえでは、インシデント・レスポンス体制の構築と、インシデント・レスポンス体制の大本の基盤となるセキュリティ・マネジメント体制の構築の2つが必要になるという構造を正しく理解しておかなくてはならない。

図1：セキュリティ対策におけるフォレンジックの位置づけ