IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
デジタル・フォレンジックは、法廷において完全性と証拠能力を維持できるようにデジタル証拠を収集・分析するプロセスです。
デジタル・フォレンジックは法医学の一分野です。これはサイバー犯罪の捜査に使用されますが、刑事捜査や民事捜査にも役立ちます。デジタル・フォレンジックは、サイバーセキュリティー・チームがマルウェア攻撃の背後にいるサイバー犯罪者の特定するためや、法執行機関が殺人容疑者のデバイスからデータを分析するために使うことがあります。
デジタル・フォレンジックは、デジタル証拠を他の形式の証拠と同様に扱うため、幅広い用途があります。当局は特定の手順に従って犯罪現場から物的証拠を収集します。同様に、デジタル・フォレンジック捜査官は、保管の連鎖として知られる厳格なフォレンジック・プロセスを遵守し、適切な取り扱いと改ざん防止を保証します。
デジタル・フォレンジックとコンピューター・フォレンジックはしばしば同じ意味で使われます。しかし、デジタル・フォレンジックは技術的にはあらゆるデジタル機器から証拠を収集するのに対して、コンピューター・フォレンジックは特にコンピューターやタブレット、携帯電話、CPUを備えた機器などのコンピューティング機器から証拠を収集します。
デジタルフォレンジックとインシデント対応(DFIR)は、コンピューター・フォレンジックとインシデント対応活動を組み合わせてサイバーセキュリティーを強化する、新たなサイバーセキュリティ分野です。これは、サイバー脅威の修復を加速すると同時に、関連するデジタル証拠が損なわれないようにするためのものです。
デジタル・フォレンジックまたはデジタル・フォレンジック化学は、パーソナル・コンピューターの台頭とともに1980年代初頭に初めて表面化し、1990年代に注目を集めました。
しかし、米国を始めとする国々がデジタル・フォレンジック政策を正式に打ち出したのは、21世紀初頭になってからです。標準化へのシフトは、2000年代のコンピューター犯罪の増加と法執行機関の全国的な分散化に起因しています。
デジタル機器が関与する犯罪の増加に伴い、より多くの個人がそのような犯罪の起訴に関与するようになりました。犯罪捜査が法廷で認められる方法でデジタル証拠を扱うことを保証するために、当局は特定の手続きを確立しました。
今日、デジタル・フォレンジックの重要性はますます高まっています。事実上あらゆる人、あらゆるものが利用できる圧倒的な量のデジタル・データを考えてみれば、その理由が理解できるでしょう。
社会がコンピューター・システムやクラウド・コンピューティング・テクノロジーへの依存度を高めるにつれ、個人はより多くの生活をオンラインで行うようになってきています。この変化は、携帯電話、タブレット、IoT(モノのインターネット)デバイス、コネクテッド・デバイスなど、ますます多くのデバイスに及んでいます。
その結果、多様なソースやフォーマットからのデータが前例のない量になりました。捜査官はこのデジタル証拠を使用して、サイバー攻撃、データ侵害、犯罪捜査と民事捜査の両方を含む、増え続けるさまざまな犯罪活動の分析と理解に専念できます。
さらに、物理的かデジタルかにかかわらずあらゆる証拠と同様、捜査官や法執行機関はそれを正しく収集・処理・分析・保管する必要があります。そうしないと、データの紛失や改ざんが起こったり、法廷で認められなくなったりする可能性があります。
フォレンジック専門家はデジタル・フォレンジック捜査の責任を負い、この分野の需要が高まるにつれて雇用機会も増加しています。労働統計局は、コンピューター・フォレンジックの求人が2029年までに31%増加すると予測しています。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
米国国立標準技術研究所(NIST)は、デジタル・フォレンジック分析プロセスの4つのステップの概要を説明しています。これらのステップには以下が含まれます。
デジタル・フォレンジック捜査に関連するデータやメタデータ、またはその他のデジタル情報を含むデジタル・デバイスやストレージ・メディアを特定します。
刑事事件の場合、法執行機関は潜在的な犯罪現場から証拠を押収し、厳格な管理連鎖を確保します。
証拠の整合性を維持するために、フォレンジック・チームはハード・ディスク・ドライブ・デュプリケーターやフォレンジック・イメージング・ツールを使用してデータのフォレンジック複製を作成します。
複製プロセスの後、元のデータを保護し、改ざん防止のために複製を使って残りの捜査を行います。
捜査官はデータとメタデータをくまなく調べて、サイバー犯罪活動の兆候を探します。
フォレンジック検査官は、Webブラウザの履歴やチャット・ログ、リモート・ストレージ・デバイス、削除された領域、アクセス可能なディスク領域など、さまざまなソースからデジタル・データを回復できます。また、オペレーティング・システムのキャッシュや、コンピュータ化されたシステムの他の部分から情報を抽出することもできます。
フォレンジック・アナリストは、さまざまな方法論とデジタル・フォレンジック・ツールを使用して、デジタル証拠からデータと洞察を抽出します。
たとえば、「隠された」データやメタデータを発見するには、実行中のシステムに揮発性データがないかどうかを評価するライブ分析などの特殊なフォレンジック手法を使用する場合があります。場合によっては、ステガノグラフィー(通常のメッセージ内の機密情報を隠す方法)を使用して隠されたデータを表示する逆ステガノグラフィーを採用する場合もあります。
捜査官は、捜査結果を特定の脅威アクターに結び付けるために、独自のオープンソース・ツールを参照することもあります。
捜査が終わると、フォレンジックの専門家は、何が起きたのか、誰に責任があるのか、などの分析結果をまとめた正式な報告書を作成します。
報告内容はケースによって異なります。サイバー犯罪については、将来のサイバー攻撃防止のための脆弱性修正に関する推奨事項が含まれていることがあります。報告書は法廷でデジタル証拠を提示するためにも頻繁に使用され、法執行機関や保険会社、規制当局、その他の当局と共有されます。
デジタル・フォレンジック・ツール
1980年代初頭にデジタル・フォレンジックが登場した際、正式なデジタル・フォレンジック・ツールはほとんどありませんでした。ほとんどのフォレンジック・チームはライブ分析頼みでしたが、これは重大な改ざんのリスクを引き起こす悪名高いトリッキーな手法でした。
1990年代後半までに、デジタル証拠に対する需要の高まりに伴い、EnCaseやフォレンジック・ツールキット(FTK)などのより洗練されたツールが開発されました。これらのツールにより、フォレンジック・アナリストはライブ・フォレンジックに頼らずにデジタル・メディアのコピーを検査できるようになりました。
現在、フォレンジック専門家は幅広いデジタル・フォレンジック・ツールを使用しています。これらのツールはハードウェア・ベースでもソフトウェア・ベースでもよく、データを改ざんすることなくデータソースを分析できます。一般的な例には、個々のファイルを抽出して分析するファイル分析ツールや、レジストリー内のユーザー・アクティビティーを分類するWindowsベースのコンピューティング・システムから情報を収集するレジストリー・ツールなどがあります。
一部のプロバイダーは、EncaseやCAINEなどの商用プラットフォームを使用して、包括的な機能とレポート機能を備えた特定のフォレンジック目的のための専用のオープンソース・ツールも提供しています。特にCAINEは、フォレンジック・チームのニーズに合わせたLinuxディストリビューション全体をカバーしています。
デジタル・フォレンジックには、フォレンジック・データのさまざまなソースに基づく個別の部門が含まれています。
デジタル・フォレンジックの最もポピュラーな分野には、以下のようなものがあります。
- コンピューター・フォレンジック(またはサイバーフォレンジック):コンピューターサイエンスと法的フォレンジックを組み合わせて、コンピューティング・デバイスからデジタル証拠を収集。
- モバイル機器フォレンジック:スマートフォン、タブレット、その他のモバイルデバイス上のデジタル証拠の調査と評価。
- データベース・フォレンジック:サイバー犯罪やデータ侵害の証拠発見のために、データベースとその関連メタデータを調査・分析。
- ネットワーク・フォレンジック:Webブラウジングやデバイス間の通信などのコンピューター・ネットワーク・トラフィックで見つかったデータの監視・分析。
- ファイルシステム・フォレンジック:デスクトップやノートPC、携帯電話、サーバーなどのエンドポイント・デバイスに保存されているファイルやフォルダーから発見されたデータの検査。
- メモリー・フォレンジック:デバイスのランダム・アクセス・メモリー(RAM)で見つかったデジタル・データの分析。
コンピューター・フォレンジックとインシデント対応 (進行中のサイバー攻撃の検知と軽減)が独立して実施されると、互いに干渉し合い、組織にとってマイナスの結果をもたらす可能性があります。
インシデント対応チームは、ネットワークから脅威を除去しながら、デジタル証拠を変更または破壊できます。フォレンジック捜査官は、証拠を探し出して確保している間に、脅威の解決が遅れる可能性があります。
デジタル・フォレンジックとインシデント対応(DFIR)は、コンピューター・フォレンジックとインシデント対応を統合したワークフローにより、情報セキュリティー・チームがより効率的にサイバー脅威と戦うのを支援します。同時に、脅威軽減の緊急性によって失われる可能性のあるデジタル証拠を保全できます。
DFIRの主なメリットは2つあります。
- フォレンジック・データの収集は、脅威の軽減と並行して行われます。インシデント対応担当者は、脅威を封じ込め、根絶する間、コンピューター・フォレンジック技術を使用してデータを収集・保存します。これにより適切な保管連鎖が守られ、貴重な証拠が変更されたり破壊されたりしないようにします。
- デジタル証拠の調査を含むインシデント後レビュー: DFIRチームは、法的手段に備えて証拠を保存するだけでなく、サイバーセキュリティー・インシデントの最初から最後まで再構築するためにこれを使用します。このプロセスは、何が起きたのか、どのように発生したのか、被害の程度、今後同様の攻撃を防ぐにはどうすればよいのかを判断するのに役立ちます。
DFIRは、より迅速な脅威の緩和やより強固な脅威の回復、ならびに刑事事件、サイバー犯罪、保険金請求、その他のセキュリティー・インシデントを調査するための証拠の改善に寄与します。