【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第11回フォレンジック［後編］

（2005年10月17日）

　コンピュータ・セキュリティ関連の事故の発生に伴う訴訟に対応するための手段として、フォレンジックというアプローチに注目が集まっている。フォレンジックでは、情報システムを構成する各種のノードやネットワークの調査を行って、証拠を収集し、解析を行うことになるが、その調査対象によって、コンピュータ・フォレンジックとネットワーク・フォレンジックの2タイプに分類することが多い。後編となる今回は、それぞれのフォレンジックを実施する際に留意すべきポイントを解説する。

鈴木武
ネットワンシステムズ

調査対象によるフォレンジックの分類

　フォレンジックは、情報システムにおいてセキュリティ関連の事故が発生した際に、証拠を確保／解析するために用いられる手段である。収集した証拠となるデータを解析することで、被害状況（いつ、どこで、何が起こったのか）、侵入経路、実行者の正体などを分析し、訴訟に対応しようというわけだ。

　前編で述べたとおり、フォレンジックは、調査対象によって、次の2つのタイプに分けることが多い。

コンピュータ・フォレンジック：調査対象：情報システムを構成する各ノード
ネットワーク・フォレンジック：調査対象：ネットワーク上のトラフィック

　これらは調査対象が異なるため、当然ながら、作業方法や注意点なども異なる。そこで、今回は、それぞれのタイプにおける作業のポイントを解説する。まずは、コンピュータ・フォレンジックの説明から始めよう。

証拠の収集順位がカギとなるコンピュータ・フォレンジック

　コンピュータ・フォレンジックでは、ルータ、スイッチ、サーバ、クライアントPC、プリンタといった情報システム上のノードを調査して、証拠となるデータを収集する。作業方法は、図1に示したように、2つのパターンに大別される。

　1つは、サーバやクライアントPCといった調査対象のディスク・イメージを作成して、それを調査専用のホストで解析するオフライン形式の方法である。調査用ホストには、信頼できる各種コマンドとツールを、調査用として用意しておく必要がある。

　もう1つの方法は、信頼できる調査用のコマンドやツールを使用して、対象のマシンやデバイス上で直接証拠となるデータの収集・解析を行うオンライン形式の調査である。この方法では、作業自体が肝心の証拠を破壊する可能性があるので、くれぐれも注意して行うようにしていただきたい。

　コンピュータ・フォレンジックを実行する際の方法と、作業に用いるコマンドやツールの選定は、自社の環境に応じて決定されることになる。以下、コンピュータ・フォレンジックで収集する証拠、利用するコマンド／ツールについて説明する。

図1：コンピュータ・フォレンジックの作業方法