しかしながら、機器の設定によっては、調査に必要な情報を得られない、ログが保存されていない、上書きされてしまっている、といった事実特定が難しくなる場合も多い。組織の内から外に対するデータ送信のログを取得するように設定する、記録されたログを別ホストに転送して集中的に管理するなど、調査を見据えた対策を講じておくことが重要である。
また、持ち出された情報資産を特定するために、サーバの認証ログやアクセスログを取得、保管することも有効である。特に重要な情報資産が格納されているサーバは、確実にログの取得、保管を実施することが望ましい。
あらゆる組織がサイバー攻撃の被害を受ける可能性があることを念頭に、事前に対応力を高めるとともに、仮にセキュリティ侵害が発生した場合においても迅速に対応できるのか、再点検することが望ましい。
調査に要するコストとサイバー保険の活用
デジタル・フォレンジック調査には専門のスキルが求められる分野であるため、インシデント対応を自組織で完結して実施できる体制を確保できるのは、一部の大企業にとどまるのではないだろうか。先に述べたように事前に対策していたとしても、調査時には相応のコストが発生することになる。まして、事前対策が十分でない場合には調査範囲が拡大し、多額のコストが発生するおそれがある。
調査に要するコストへのリスク対応策として、「サイバー保険の活用」が選択肢として挙げられる。サイバー保険に加入することで、フォレンジック調査などで発生した費用が補償 される場合があるため、サイバーインシデントが発生時の調査に寄与することが期待される。
ただし、サイバー保険へ加入するからといって、予防的対策や事前対策をしなくても良いということにはならない。実際に情報漏えい事故が起きてしまうと、企業ブランドの毀損や収益の減少といった、数多くの影響を与えることになるだろう。サイバーセキュリティインシデントが発生する可能性や影響を低減するために、セキュリティ対策を推進していくとともに、有事のリスク移転策としてサイバー保険の活用が選択肢となるだろう。
今回は、サイバー攻撃におけるデジタル・フォレンジック調査と対策について述べてきた。情報漏洩を伴うサイバー攻撃が、組織に対して多大なインパクトを与えることは、誰もが認識しているだろう。サイバー保険が普及することで、企業が採り得るリスク対応策も幅が広がり、サイバーリスクへの対応強化を促す契機となることが期待される。
- デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス 所属 小林 弘典
- 国内SIerに入社後、主に官公庁や金融機関向けにセキュリティ設計、実装、監視業務に従事。 デロイト トーマツ リスクサービスに入社後、デジタル・フォレンジック技術を用いた不正調査・インシデントレスポンス、セキュリティ評価・アドバイザリ等、技術面からの情報セキュリティコンサルティング業務に従事。CISA、CISSP。