DFIRとは
デジタル・フォレンジック・インシデント対応(DFIR)とは、サイバーセキュリティーの2つの分野を組み合わせることで、サイバー犯罪者に対する証拠を押さえながら、脅威への対応を合理化することです。
IBMのニュースレターに登録する SIEMのデモを見る
さまざまな事務職員の全員がIBM Securityを使用する様子を示す等角投影図
DFIRとは

DFIRは、サイバーセキュリティーの2つの個別の分野を統合したものです。その1つであるデジタル・フォレンジックは、主にサイバー犯罪者の訴訟のためのデジタル証拠を収集するために、サイバー脅威を調査することを指します。もう1つの分野であるインシデント対応は、発生したサイバー攻撃を検知して軽減することです。 DFIRは、この2つの分野を組み合わせることで、セキュリティー・チームが脅威の軽減を急ぐあまり失われかねない証拠を確保しながら、脅威を迅速に阻止できるようにします。
デジタル・フォレンジックとは

デジタル・フォレンジックは、マルウェア・ファイルや悪意のあるスクリプトなど、脅威アクターが残した痕跡であるデジタル証拠を収集、分析、保全することで、サイバーセキュリティー・インシデントを調査して再構築するものです。 この再構築により、調査担当者は攻撃の根本原因を突き止め、犯人を特定することができます。 

デジタル・フォレンジック調査は、厳密なChain of Custody(管理の連鎖)、つまり証拠がどのように収集され処理されるかを追跡するための正式なプロセスに従って行われます。 このChain of Custodyによって、調査担当者は証拠が改ざんされていないことを証明することができます。 そのため、デジタル・フォレンジック調査によって得た証拠は、裁判、保険金請求、規制当局による監査など、公的な目的で使用することができます。

米国国立標準技術研究所(NIST)(PDF、2.7 MB)(ibm.com外部へのリンク)は、以下のようにデジタル・フォレンジック調査の4つの手順を定めています。
1.データ収集

侵害の発生後、フォレンジック調査担当者は、脅威アクターがアクセスした可能性のあるオペレーティング・システム、ユーザー・アカウント、モバイル・デバイス、その他のハードウェアやソフトウェアの資産からデータを収集します。 一般的なフォレンジック・データのソースには、以下が含まれます。

  • ファイル・システム・フォレンジック:エンドポイントに保管されているファイルやフォルダー内のデータ。 
  • メモリー・フォレンジック:デバイスのランダム・アクセス・メモリー(RAM)内で発見されたデータ。
  • ネットワーク・フォレンジック:Webブラウジングやデバイス間の通信などのネットワーク・アクティビティーを検査することで発見されたデータ。 
  • アプリケーション・フォレンジック:アプリケーションやその他のソフトウェアのログから発見されたデータ。 

証拠の完全性を保つために、調査担当者はデータを処理する前にそのコピーを作成します。 元データは改ざんできないように保護し、残りの調査はコピーを使用して行います。
2. 検査

調査担当者は、それらのデータから、フィッシング・メール、改ざんされたファイル、疑わしい接続など、サイバー犯罪活動の兆候を探し出します。

3. 分析

調査担当者は、フォレンジック技術を使用して、デジタル証拠を処理して相関分析し、それらの証拠から洞察を引き出します。 また、調査担当者は、独自およびオープンソースの脅威インテリジェンス・フィードを参照し、調査結果を特定の脅威アクターに関連付けることもあります。

4. レポート作成

調査担当者は、セキュリティー・イベントの発生状況を説明し、容疑者や犯人を特定する(可能な場合)レポートを作成します。 レポートには、将来の攻撃を阻止するための推奨事項が含まれることもあります。 レポートは、法執行機関、保険会社、規制当局、その他の当局と共有することができます。

インシデント対応とは

インシデント対応では、セキュリティー侵害の検知と対応に重点を置きます。 インシデント対応の目標は、攻撃を未然に防ぎ、発生した攻撃に伴うコストや業務の中断を最小限に抑えることです。

インシデント対応の取り組みは、インシデント対応チームがサイバー脅威にどのように対処すべきかをまとめたインシデント対応計画(IRP)に従って実行されます。 インシデント対応のプロセスには、以下の6つの標準的な手順があります。

  1. 準備:準備とは、リスクの評価、脆弱性の特定と修正(脆弱性管理)、さまざまなサイバー脅威のIRPの作成を行う継続的なプロセスです。

  2. 検知と分析:インシデント対応担当者は、疑わしい活動がないかネットワークを監視します。 また、データを分析し、誤検知を除外し、アラートをトリアージします。

  3. 封じ込め:侵害が検知された場合、インシデント対応チームは、脅威がネットワークに広がるのを阻止するための措置を講じます。 

  4. 根絶:脅威を封じ込めた後、インシデント対応担当者は、 ランサムウェア・ファイルを破壊したり、デバイスから脅威アクターを追い出したりするなどして、ネットワークから脅威を排除します。

  5. 復旧:脅威の痕跡をすべて除去した後、インシデント対応担当者は、被害を受けたシステムを通常の運用に復元します。

  6. インシデント後のレビュー:インシデント対応担当者は、侵害がどのように発生したかを理解し、将来の脅威に備えるために、侵害をレビューします。 
DFIRのメリット

デジタル・フォレンジックとインシデント対応を別々に実行すると、それらは互いに干渉し合うことがあります。 インシデント対応担当者は、ネットワークから脅威を取り除く際に、証拠を変更または破壊してしまう可能性があります。フォレンジック調査担当者は、証拠を探すために、脅威の解決を遅らせてしまうかもしれません。 また、これらのチーム間で情報が流れず、全員の効率が低下する可能性があります。

DFIRは、これら2つの分野を、1つのチームが実行する1つのプロセスに融合したものです。 これにより、以下の2つの重要なメリットが得られます。

フォレンジック・データの収集は、脅威の軽減と並行して行われます。 DFIRのプロセスでは、インシデント対応担当者は、脅威を封じ込んで根絶しながら、フォレンジック技術を使用してデジタル証拠を収集して保全します。 これにより、Chain of Custodyが守られ、インシデント対応の取り組みによって貴重な証拠が変更されたり破壊されたりすることがなくなります。

インシデント後のレビューには、デジタル証拠の検査が含まれますDFIRでは、デジタル証拠を使用して、セキュリティー・インシデントをより深く掘り下げます。 DFIRチームは、収集した証拠を検査して分析し、インシデントの最初から最後までを再構築します。 DFIRのプロセスは、何が起こったか、どのように起こったか、被害の全容、今後同様の攻撃をどのように回避できるかを詳述したレポートを作成することで締めくくられます。 

結果的に得られるメリットとしては、以下が挙げられます。

  • より効果的な脅威の防止。 DFIRチームは、従来のインシデント対応チームよりも徹底的にインシデントを調査します。 DFIRの調査は、セキュリティー・チームがサイバー脅威をより深く理解し、より効果的なインシデント対応プレイブックを作成し、より多くの攻撃を未然に阻止するのに役立ちます。 また、DFIRの調査は、未知のアクティブな脅威の証拠を発見することで、脅威ハンティングを簡素化することができます。

  • 脅威の解決時に失われる証拠はほぼない。 標準的なインシデント対応プロセスでは、インシデント対応担当者は、脅威の封じ込めを急ぐあまり証拠を失う場合があります。 例えば、脅威の拡大を封じ込めるために感染したデバイスをシャットダウンした場合、デバイスのRAMに残っている証拠はすべて失われます。 デジタル・フォレンジックとインシデント対応の両方の訓練を受けたDFIRチームは、インシデントを解決しながら証拠を保全することに長けています。 

  • 訴訟への対応の向上。 DFIRチームは、Chain of Custodyに従います。つまり、DFIR調査の結果は、法執行機関と共有し、サイバー犯罪者の訴追に利用することができます。 また、DFIR調査の結果は、保険金請求や侵害の発生後の規制当局による監査にも対応しています。

  • より迅速かつ堅固な脅威からの復旧。 フォレンジック調査は、標準的なインシデント対応調査よりも堅固であるため、DFIRチームは、通常であれば見過ごされていた、隠れたマルウェアやシステム損傷を発見することができます。 これにより、セキュリティー・チームは、脅威を根絶し、攻撃からより完全に復旧することができます。

 
DFIRのツールとテクノロジー

一部の企業では、DFIRは、社内のコンピューター・セキュリティー・インシデント対応チーム(CSIRT)(コンピューター緊急対応チーム(CERT)と呼ばれることもある)によって実行されます。 CSIRTのメンバーには、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、ITスタッフ、経営幹部、社内のその他の関係者が含まれることがあります。

多くの企業は、自社でDFIRを実施するためのリソースが不足しています。 その場合、第三者のDFIRサービスをリテーナー契約で雇うこともあります。 

社内のDFIR専門家も第三者のDFIR専門家も、脅威の検知、調査、解決に同じDFIRツールを使用します。 これらには、以下が含まれます。

  • Security Orchestration, Automation and Response(SOAR)SOARは、DFIRチームがセキュリティー・データの収集と分析、インシデント対応ワークフローの定義、反復的または低レベルのセキュリティー・タスクの自動化を行うことを可能にします。

  • Endpoint Detection and Response(EDR)EDRは、エンドポイント・セキュリティー・ツールを統合し、リアルタイムの分析とAI主導の自動化を使用して、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・テクノロジーを通過するサイバー脅威から組織を保護します。

  • Extended Detection and Response(XDR) XDRは、セキュリティー・ツールを統合し、ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データなどのあらゆるセキュリティー層でセキュリティー運用を一元化するオープンな サイバーセキュリティー ・アーキテクチャーです。 XDRは、ツール間の可視性のギャップをなくすことで、セキュリティー・チームが脅威をより迅速かつ効率的に検知して解決し、脅威の被害を最小限に抑えられるようにします。
関連ソリューション
X-Forceインシデント対応チーム

インシデント対応(IR)の対策と24時間365日体制の緊急IRサービスにより、攻撃を検知して封じ込め、攻撃から復旧して、侵害の影響を軽減します。

 X-Forceインシデント対応チームの詳細はこちら
IBM Security QRadar SIEM

事業運用の中断を引き起こす重大な脅威や脆弱性を特定して防止します。

 QRadar SIEMソリューションの詳細はこちら
IBM Security QRadar NDR

ネットワークの可視化と先進の分析により、手遅れになる前に隠れた脅威を見つけます。

 QRadar NDRソリューションの詳細はこちら
リソース 2022 IBM Security X-Forceクラウドの脅威の状況に関するレポート
クラウドのセキュリティーにおける最新の脅威のインテリジェンスや傾向と、IBM Security X-Forceから得た洞察を使用してセキュリティー態勢を強化する方法について説明します。
 堅固なインシデント対応戦略を構築するための6つの手順
オーケストレーションされたインシデント対応への道は、従業員を強化し、一貫性のある反復可能なプロセスを開発し、テクノロジーを活用して実行することから始まります。 このガイドでは、堅固なインシデント対応機能を構築するための重要な手順について説明します。
 インシデント対応とは
正式なインシデント対応計画により、サイバーセキュリティー・チームは、サイバー攻撃やセキュリティー侵害による被害を抑制または防止することができます。
 SIEMとは
Security Information and Event Management(SIEM)は、イベントのリアルタイムのモニタリングと分析、コンプライアンスや監査を目的としたセキュリティー・データの追跡とロギングの機能を提供します。
 脅威インテリジェンスとは
脅威インテリジェンスは、組織を標的としたサイバー脅威を防ぎ、その脅威に対抗するための詳細で実用的な脅威情報です。
 ランサムウェアとは
ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質にとります。 ランサムウェアの仕組み、それが近年急増している理由、組織がランサムウェアを防御する方法について説明します。
詳細情報はこちら

インシデント対応のチーム、プロセス、管理体制を整備することで、ブルー・チーム(侵害を防御する側)がインシデント対応計画を改善し、侵害の影響を最小限に抑えられるよう支援します。

X-Forceインシデント対応チームの詳細はこちら