ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」
証拠保全の重要性については前編で触れた。証拠保全のためのフリーツールも公開されており、手順を紹介した書籍もあれば、インターネット上にも情報が溢れている。果たして実際はどうなのだろうか?
デジタル・フォレンジックや不正調査支援サービスを展開する株式会社Ji2と2014年に経営統合し、一丸となってフォレンジック案件に取り組むソリトンシステムズ 荒木氏に話をきいた。
●フォレンジックの目的から判断する
「私たちが証拠保全作業をさせて頂く場合、必ず熟練の経験者を派遣します。最近の端末は、ディスクが暗号化されていたり、トリッキーな作りになっていることもありますし、端末がそもそも不安定だったりして、マニュアル通りにうまく証拠保全出来ないことも多々あるのが実情です。現場で状況判断して対応する必要があるので、経験豊富なエンジニアを派遣するようにしています。
しかし、証拠保全しないと、その先のフォレンジックサービスにも繋がらないので、やむなく廉価で証拠保全を請け負うベンダーも多いようです。このあたりも、証拠保全の価値や重要性が、まだお客様に十分理解されていないことの証左かもしれません。(荒木氏)」
これまで、サイバー攻撃は、企業リスクとして認識されておらず、インシデントも出来るだけ「無かったこと」にしてきた企業も多いと聞く。しかし「サイバーセキュリティ経営ガイドライン」でも指摘されているように、今や時代は変わり、ステークホルダーに説明責任が果たせるかどうかが、企業の運命を左右する時代となった。
あなたの企業・組織にとって、インシデント発生時にフォレンジック調査を行う目的は何だろうか? 説明責任を果たし、いざという場合には裁判に利用できる証拠データを確保するという目的であれば、その目的を満たすレベルで、証拠保全出来るかどうか…自社で対応する場合はこの点を見極める必要がありそうだ。
●現場力を養うフォレンジックトレーニング
CSIRTなどのインシデント対応体制を整備し、ある程度は自社で対応する方針を持つ企業もあるだろう。ソリトングループでは、証拠保全やフォレンジックサービスを提供するだけではなく、こうした業務に携わる方向けに、証拠保全の基礎などの技術トレーニングも行っている。その中では、経験者の知恵や現場で陥りやすいポイントなど実践的な内容を盛り込んでいるという。
「例えばCD/DVD用の安価な不織布ケースをブルーレイディスクに使って出し入れしていると、ブルーレイはCD/DVDとは保護膜の仕様が異なるため、徐々に状態が変わって正しく読めなくなります。こうしたメディアの知識もフォレンジック現場では重要ですが、案外ハードウェアにお詳しくないIT管理者の方も多いので、実践力を身につけていただけるような工夫をしています。(荒木氏)」
証拠保全にどれぐらい時間がかかり、その後のスケジュールはどのように段取れば良いか?現場で実働する担当でなくとも、インシデント対応に関わり、意思決定する立場であれば、最低限の知識としてフォレンジックの基礎を把握しておきたいところだ。こうした観点でトレーニングを受講する参加者も増えてきたという。
●フォレンジックは手段であって、目的ではない
サイバー攻撃は増加し、フォレンジック調査が必要なインシデントも増えている。しかし実際には、フォレンジックの価値が正しく理解されることは少なく、フォレンジックサービスを受ける側の企業・組織と、サービス提供する側のベンダーの間で、どうもプロトコルが噛み合っていないようにも見えてくる。フォレンジックビジネスは今後どうなってしまうのだろうか?
「ソリトングループに調査をご依頼いただく事案でも、かなり高度な攻撃手法が見られるようになってきました。そういう手口を明らかにするフォレンジックは、理解されにくいビジネスだからといって簡単に諦めてはいけない分野だと思っています。適正価格できちんと対価をいただき、少しでも質の高いフォレンジックサービスを提供し続けることが、私たちの社会的責任でもあると考えています。
そのために取り組んでいることはいくつかあるのですが、特に『お客様の立場で考えること』ことについては、特に心掛けています。
フォレンジックの世界は奥が深く、幅広い知識や経験、創意工夫が要求されることもあり、究めようとすると研究者レベルの情熱が必要となります。もちろん日々の技術研鑽は必要ですが、だからといってお客様と同じ視点を持つことは忘れてはならないと考えています。
私たちのミッションは、お客様のお困りの状況を少しでも解決することとしています。そのため『お客様の立場で考える』ことを心掛け、お客様にとって分かりやすいフォレンジックサービスを提供するための努力を惜しんではいけないと思っています。結果としてフォレンジック道を究めることになるかもしれませんが、それはあくまで手段であって目的ではありません。(荒木氏)」
●攻撃者優位を打破する取り組み
サイバー攻撃は、組織化され十分なリソースが与えられた攻撃者側に対し、防御側は完全に後手に回っているとしか言いようがない。そもそも、フォレンジックサービスを受ける側と提供する側、つまり防御する者同士でのギャップを議論している場合ではないのだが、残念ながらこれが日本の現実だと認めなくてはならないだろう。この状況を打破するためにも、製品開発ベンダーとしてフォレンジックの知見を活かし、インシデント対応に役立つようなソリューションも提供していきたいと荒木氏は語る。
「最近はニュースでもサイバー攻撃に関する情報が増えてきたので、情報過多でかえって取り残されてしまう方も多いように感じます。攻撃者の餌食にならないよう、お客様には現状を知って、冷静にリスク管理を進めていただきたいといったことばかりお話ししてしまいましたが、もちろん私たち対策ベンダーの努力もまだまだ足りないと考えています。アプライアンス製品やソフトウェア製品を開発し、フォレンジックやトレーニング、そして訴訟対応まで支援できるチームを持つソリトングループとして、私たちが果たすべき使命は重いと感じます。
攻撃者は悔しいことにチーム戦に長けています。攻撃優位の状況を打破するためには、私たちも、お客様や販売パートナーだけでなく、IT業界全体が同じチームだという意識で、一歩ずつ課題解決に取り組んでいく必要があると考えています。(荒木氏)」
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
今回は毛色が違う。営業DXサービス「Sansan」を利用中の顧客に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕された旨の報道があったと、その社員とは無関係の「Sansan」を提供するSansan株式会社が公表を行ったことだ。感覚的には「Gmail アカウントが乗っ取られスパムメール送信に利用された件について犯人が逮捕された」と Google が発表するようなものだろうか。
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。
ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。