DFIRは、サイバーセキュリティーの2つの個別の分野を統合したものです。その1つであるデジタル・フォレンジックは、主にサイバー犯罪者の訴訟のためのデジタル証拠を収集するために、サイバー脅威を調査することを指します。もう1つの分野であるインシデント対応は、発生したサイバー攻撃を検知して軽減することです。 DFIRは、この2つの分野を組み合わせることで、セキュリティー・チームが脅威の軽減を急ぐあまり失われかねない証拠を確保しながら、脅威を迅速に阻止できるようにします。
デジタル・フォレンジックは、マルウェア・ファイルや悪意のあるスクリプトなど、脅威アクターが残した痕跡であるデジタル証拠を収集、分析、保全することで、サイバーセキュリティー・インシデントを調査して再構築するものです。 この再構築により、調査担当者は攻撃の根本原因を突き止め、犯人を特定することができます。
デジタル・フォレンジック調査は、厳密なChain of Custody(管理の連鎖)、つまり証拠がどのように収集され処理されるかを追跡するための正式なプロセスに従って行われます。 このChain of Custodyによって、調査担当者は証拠が改ざんされていないことを証明することができます。 そのため、デジタル・フォレンジック調査によって得た証拠は、裁判、保険金請求、規制当局による監査など、公的な目的で使用することができます。
米国国立標準技術研究所(NIST)(PDF、2.7 MB)(ibm.com外部へのリンク)は、以下のようにデジタル・フォレンジック調査の4つの手順を定めています。
侵害の発生後、フォレンジック調査担当者は、脅威アクターがアクセスした可能性のあるオペレーティング・システム、ユーザー・アカウント、モバイル・デバイス、その他のハードウェアやソフトウェアの資産からデータを収集します。 一般的なフォレンジック・データのソースには、以下が含まれます。
証拠の完全性を保つために、調査担当者はデータを処理する前にそのコピーを作成します。 元データは改ざんできないように保護し、残りの調査はコピーを使用して行います。
調査担当者は、それらのデータから、フィッシング・メール、改ざんされたファイル、疑わしい接続など、サイバー犯罪活動の兆候を探し出します。
調査担当者は、フォレンジック技術を使用して、デジタル証拠を処理して相関分析し、それらの証拠から洞察を引き出します。 また、調査担当者は、独自およびオープンソースの脅威インテリジェンス・フィードを参照し、調査結果を特定の脅威アクターに関連付けることもあります。
調査担当者は、セキュリティー・イベントの発生状況を説明し、容疑者や犯人を特定する(可能な場合)レポートを作成します。 レポートには、将来の攻撃を阻止するための推奨事項が含まれることもあります。 レポートは、法執行機関、保険会社、規制当局、その他の当局と共有することができます。
インシデント対応では、セキュリティー侵害の検知と対応に重点を置きます。 インシデント対応の目標は、攻撃を未然に防ぎ、発生した攻撃に伴うコストや業務の中断を最小限に抑えることです。
インシデント対応の取り組みは、インシデント対応チームがサイバー脅威にどのように対処すべきかをまとめたインシデント対応計画(IRP)に従って実行されます。 インシデント対応のプロセスには、以下の6つの標準的な手順があります。
デジタル・フォレンジックとインシデント対応を別々に実行すると、それらは互いに干渉し合うことがあります。 インシデント対応担当者は、ネットワークから脅威を取り除く際に、証拠を変更または破壊してしまう可能性があります。フォレンジック調査担当者は、証拠を探すために、脅威の解決を遅らせてしまうかもしれません。 また、これらのチーム間で情報が流れず、全員の効率が低下する可能性があります。
DFIRは、これら2つの分野を、1つのチームが実行する1つのプロセスに融合したものです。 これにより、以下の2つの重要なメリットが得られます。
フォレンジック・データの収集は、脅威の軽減と並行して行われます。 DFIRのプロセスでは、インシデント対応担当者は、脅威を封じ込んで根絶しながら、フォレンジック技術を使用してデジタル証拠を収集して保全します。 これにより、Chain of Custodyが守られ、インシデント対応の取り組みによって貴重な証拠が変更されたり破壊されたりすることがなくなります。
インシデント後のレビューには、デジタル証拠の検査が含まれます。 DFIRでは、デジタル証拠を使用して、セキュリティー・インシデントをより深く掘り下げます。 DFIRチームは、収集した証拠を検査して分析し、インシデントの最初から最後までを再構築します。 DFIRのプロセスは、何が起こったか、どのように起こったか、被害の全容、今後同様の攻撃をどのように回避できるかを詳述したレポートを作成することで締めくくられます。
結果的に得られるメリットとしては、以下が挙げられます。
一部の企業では、DFIRは、社内のコンピューター・セキュリティー・インシデント対応チーム(CSIRT)(コンピューター緊急対応チーム(CERT)と呼ばれることもある)によって実行されます。 CSIRTのメンバーには、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、ITスタッフ、経営幹部、社内のその他の関係者が含まれることがあります。
多くの企業は、自社でDFIRを実施するためのリソースが不足しています。 その場合、第三者のDFIRサービスをリテーナー契約で雇うこともあります。
社内のDFIR専門家も第三者のDFIR専門家も、脅威の検知、調査、解決に同じDFIRツールを使用します。 これらには、以下が含まれます。
Security Information and Event Management(SIEM): SIEMは、セキュリティー・ツールやネットワーク上の他のデバイスからセキュリティー・イベント・データを収集して相関分析します。
Security Orchestration, Automation and Response(SOAR):SOARは、DFIRチームがセキュリティー・データの収集と分析、インシデント対応ワークフローの定義、反復的または低レベルのセキュリティー・タスクの自動化を行うことを可能にします。
Endpoint Detection and Response(EDR):EDRは、エンドポイント・セキュリティー・ツールを統合し、リアルタイムの分析とAI主導の自動化を使用して、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・テクノロジーを通過するサイバー脅威から組織を保護します。
Extended Detection and Response(XDR): XDRは、セキュリティー・ツールを統合し、ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データなどのあらゆるセキュリティー層でセキュリティー運用を一元化するオープンな サイバーセキュリティー ・アーキテクチャーです。 XDRは、ツール間の可視性のギャップをなくすことで、セキュリティー・チームが脅威をより迅速かつ効率的に検知して解決し、脅威の被害を最小限に抑えられるようにします。
インシデント対応(IR)の対策と24時間365日体制の緊急IRサービスにより、攻撃を検知して封じ込め、攻撃から復旧して、侵害の影響を軽減します。
事業運用の中断を引き起こす重大な脅威や脆弱性を特定して防止します。
ネットワークの可視化と先進の分析により、手遅れになる前に隠れた脅威を見つけます。