また、端末のメモリ上にセキュリティ侵害の手掛かりとなる情報が残っていることがある。攻撃の巧妙化からディスク上に痕跡が残らないケースもあり、メモリフォレンジックの重要性は増してきている。もし被害端末の電源がオンのまま確保できた場合には、メモリのデータを取得することも検討すべきである。
証拠保全作業は、特定⾮営利活動法⼈のデジタル・フォレンジック研究会の「証拠保全ガイドライン」などを参考に、組織において確立された手順に従って保全作業を行い、痕跡の消失や変更が最小限になるようにしなければならない。また、外部専門家へ依頼する場合には、環境を保全するように周知徹底し、闇雲に端末を操作してしまわないようにすることが重要である。
原因究明のための調査
証拠保全に続き、攻撃の痕跡を探すためにデータを分析する。分析作業では、端末に残っている複数の証跡を相互に関連付け、サイバー攻撃の痕跡を調査する。例えば、被害端末を調査することで、マルウェアなどの不正プログラム、悪意のあるサイトや攻撃指令サーバへの接続の痕跡、外部送信されたファイルなどを特定できる場合がある。
分析作業には、オペレーティングシステムやファイルシステムの理解、サイバー攻撃手法に関する詳細な知識のような、専門的なスキルが要求される。加えて、分析作業は被害端末単体の調査にとどまらず、ネットワーク機器やサーバのログといった、複合的な分析を行うケースもあり、幅広い知識や経験が必要になることもある。
調査結果の活用と改善
フォレンジック調査で得た結果をもとに、被害の封じ込め、ステークホルダへ報告する。
サイバー攻撃被害の根本原因の対策は、調査で判明した原因を基に導き出すことができるが、部分的な対処に留まってしまうことが多い。セキュリティ侵害の根本原因を分析に活用し、組織的なセキュリティ対策の強化に役立てていくことが重要である。
一度企業で発生したセキュリティインシデントは、類似の事象が再発する可能性を秘めている。そのため、調査で得られた教訓を生かした、パッチワーク的な対応に留まらない根治策の検討が、インシデントを経験した企業に求められるだろう。
ここまでインシデント発生時に行う調査について説明してきた。サイバー攻撃に対し、どのような対策をとれば良いのかやサイバー保険の効能について後編で解説する。

- デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス 所属 小林 弘典
- 国内SIerに入社後、主に官公庁や金融機関向けにセキュリティ設計、実装、監視業務に従事。 デロイト トーマツ リスクサービスに入社後、デジタル・フォレンジック技術を用いた不正調査・インシデントレスポンス、セキュリティ評価・アドバイザリ等、技術面からの情報セキュリティコンサルティング業務に従事。CISA、CISSP。