デジタル・フォレンジックとインシデント対応(DFIR)は、2つのサイバーセキュリティ分野を組み合わせて、サイバー犯罪に対する証拠を保全しながら脅威への対応を合理化します。
DFIRは、デジタル・フォレンジックとインシデント対応の2つの個別のサイバーセキュリティー分野を統合します。前者は主にサイバー犯罪者訴訟のためのデジタル証拠を収集するためのサイバー脅威の調査で、後者は進行中のサイバー攻撃の検知と軽減を指します。これら2つの分野を組み合わせることで、セキュリティー・チームは脅威をより迅速に阻止し、脅威軽減の緊急性のせいで喪失しかねない証拠を保存できるようになります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
デジタル・フォレンジックの専門家は、マルウェアファイルや悪意のあるスクリプトなど、脅威の実行者が残した痕跡であるデジタル証拠を収集・分析・保存することで、サイバーセキュリティー・インシデントを調査および再構築します。このような再構築により、専門家は攻撃の根本原因を特定し、犯人を特定できます。
デジタル・フォレンジック調査は、証拠がどのように収集され、どのように取り扱われるかを追跡するための厳密な保管の連鎖(チェーン・オブ・カストディー)または正式なプロセスに従います。保管の連鎖により、捜査官は証拠が改ざんされていないことを証明できます。その結果、デジタル・フォレンジック調査の証拠は、訴訟や保険金請求、規制監査などの公的目的に使用できるようになります。
米国国立標準技術研究所(NIST)は、デジタル・フォレンジック調査の4つの手順を概説しています。
侵害発生後、フォレンジック調査員は、オペレーティング・システムやユーザー・アカウント、モバイル・デバイス、および脅威アクターがアクセスした可能性のあるその他のハードウェアやソフトウェア資産からデータを収集します。フォレンジック・データの一般的なソースは次のとおりです。
証拠の完全性を維持するために、捜査官はデータを処理する前にコピーを作成します。また、原本を改ざんできないように保護し、残りの捜査はコピーに対して行われます。
捜査官は、フィッシング・メールや改ざんファイル、疑わしい接続など、サイバー犯罪アクティビティーの兆候がないかデータを精査します。
捜査官はフォレンジック技術を使用して、デジタル証拠を処理して関連付け、洞察を抽出します。調査員は、独自の脅威インテリジェンス・フィードやオープンソースのものを参照して、調査結果を特定の脅威アクターに結び付けることもできます。
捜査官は、セキュリティー・イベント中に何が起こったかを説明し、可能であれば容疑者または犯人を特定する報告書を作成します。報告書には、将来の攻撃を阻止するための推奨事項が含まれる場合もあります。これは、法執行機関や保険会社、規制当局、その他の当局と共有されることがます。
インシデント対応は、セキュリティー侵害の検出と対応に重点を置いています。インシデント対応の目標は、攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。
インシデント対応の取り組みは、インシデント対応チームがサイバー脅威にどのように対処すべきかを概説するインシデント対応計画(IRP)を指針とします。インシデント対応プロセスには、次の6つの標準的な手順があります。
デジタル・フォレンジックとインシデント対応を別々に行うと、互いに干渉し合う可能性があります。インシデント対応者はネットワークから脅威を除去する際に、証拠を改ざんまたは破壊してしまう可能性があり、フォレンジック調査員は証拠探索によって脅威の解決を遅れらせてしまう可能性があります。これらのチーム間で情報交換が滞るような場合、全員の効率が本来より低下してしまいます。
DFIRは、これら2つの分野を1つのチームが実行する単一のプロセスに融合します。これにより、次の2つの重要な利点をもたらします。
フォレンジック・データの収集が、脅威の軽減と並行して行われます。DFIRプロセスでは、インシデント対応者がフォレンジック手法を使用してデジタル証拠を収集して保存し、脅威を封じ込めて根絶します。これにより、保管の連鎖が守られ、貴重な証拠がインシデント対応アクティビティーによって改ざんされたり破壊されたりすることがなくなります。
インシデント後レビューには、デジタル証拠の調査が含まれます 。DFIRは、セキュリティー・インシデントを深耕するためにデジタル証拠を使用します。DFIRチームは、収集した証拠を調査・分析し、事件の最初から最後まで再現します。DFIRのプロセスは、何が起きたか、どのように起きたか、被害の全容、そして今後同様の攻撃をどのように回避できるかを詳細に記した報告書で終了します。
結果として次のようなメリットが得られます。
一部の企業では、社内のコンピューター・セキュリティー・インシデント対応チーム(CSIRT)(コンピュータ緊急対応チーム(CERT)とも呼ばれる)がDFIRを担当します。CSIRTメンバーには、最高情報セキュリティー責任者(CISO)やセキュリティー・オペレーション・センター(SOC)、ITスタッフ、経営幹部、会社全体のその他の利害関係者が含まれる場合があります。
多くの企業には、DFIRを独自に実行するためのリソースが不足しています。その場合、リテイナーに機能するサードパーティーのDFIRサービスを利用します。
社内とサードパーティーのDFIR専門家はどちらも、同じDFIRツールを使用して脅威を検知・調査・解決します。例えば次のような教訓です。
セキュリティ情報およびイベント管理(SIEM):SIEMは、ネットワーク上のセキュリティー・ツールやその他のデバイスからセキュリティー・イベント・データを収集し、相関させます。
セキュリティー・オーケストレーション、オートメーション、対応(SOAR):SOARを使用すると、DFIRチームはセキュリティー・データを収集・分析し、インシデント対応ワークフローを定義し、反復的なセキュリティー・タスクや低レベルのセキュリティー・タスクを自動化できます。
EDR(エンドポイントの検知と対応):EDRはエンドポイント・セキュリティー・ツールを統合し、リアルタイム分析とAI駆動型オートメーションを使用して、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・テクノロジーをすり抜けるようなサイバー脅威から組織を保護します。
XDR(拡張検知と応答) ):XDRは、セキュリティー・ツールを統合し、すべてのセキュリティー・レイヤー(ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウドワークロード、データ)にわたってセキュリティー・オペレーションを一元化するオープンなサイバーセキュリティー・アーキテクチャーです。XDRは、ツール間の可視性のギャップをなくすことで、セキュリティー・チームがより迅速かつ効率的に脅威を検知・解決し、脅威が引き起こす被害を最小限に抑えることを支援します。