問い合わせ

導入事例から見るネットワークフォレンジックの活用方法

 2019.10.28  2024.11.08 株式会社ネットワークバリューコンポネンツ

前回コラム「ネットワークフォレンジックとは一体なんなのか?基本を解説」では、ネットワークフォレンジックの概要をご紹介しました。
今回は一歩進んで、実際に導入している企業がどのようにしてネットワークフォレンジック技術を活用しているのかを解説していきます。

ネットワークフォレンジックの対象となる通信の実態とは

ネットワークフォレンジック技術は実際にどういう場面で必要になるのでしょうか。

技術的にはネットワークのトラフィックを監視しネットワークを飛び交うパケットと呼ばれる情報を分析・保存・再生する技術です。企業のネットワークにはサーバー、ストレージ、また外部からの攻撃を防止するためのファイアウォールなどのセキュリティを確保するための機材、さらに一般ユーザーが業務を行うための端末など様々な機器がつながっています。

また、企業の壁を超えて外部インターネットにWebアクセスする場合は、プロキシーサーバーという代理サーバーを介した後、ファイアウォールを経由して接続が行われるのが一般的なネットワークのシステムになっています。これら内部ネットワーク、外部インターネットの接続情報のやり取りはすべてパケットと呼ばれる情報の最小単位に分けられ接続元の情報と接続先の情報など住所情報が格納されたヘッダー情報と通信の中身が格納されているペイロードと呼ばれる情報とともに、ネットワーク上を飛び交うことになります。

情報システムのセキュリティを確保するためには多段階に渡りマルウェアなど悪意のあるプログラムの侵入を防ぐためのシステムとそれらのシステムから報告されるアラート情報と呼ばれる「警告」に対応する行為として「検疫・通信の制御」を実行していくことになります。

ネットワークフォレンジックの考え方は、ネットワークを飛び交うパケットに照準を当てネットワークトラフィックを監視することにより、外部からの攻撃や、内部からの犯行(情報漏えい)などを検知しようというものです。また、膨大なトラフィックを監視するだけではなく、パケット情報を保存することにより事件が起こった場合の再現までが可能になります。これは防犯カメラのようにネットワークを監視し、記録をすることによりネットワークのセキュリティを高めることができるようになります。

[SMART_CONTENT]
企業のサイバー防衛力を評価 セキュリティレーティングとは
セキュリティ レーティングでサプライチェーン全体のセキュリティを評価

実際にどのように活用されているのか

様々な企業でネットワークフォレンジックの技術が導入されていますが、特に多いのが、オンラインで個人情報を伴う会員登録や、お金の送金/受け取りを行うためのシステムを自社で構築、運用しているようなケースです。

外部からの攻撃に備え、多段階での防御システムや、大量に上がってくる警告情報の監視、またインシデントレスポンスと呼ばれるセキュリティ専門チームの設置で備えてきました。専門チームは警告情報に対して、SIEMと呼ばれるツールを使ってログの分析を行います。ただし、ログ情報だけでは十分な分析ができないためネットワークフォレンジック技術を導入しています。

あるお客様の事例です。

その企業では、ある社内担当者が顧客情報を格納したファイルを分析のために端末にコピーしエクセルファイルで保存したところ、その端末が標的型攻撃の被害にあってしまい、顧客情報を格納したエクセルファイルが外部に流出してしまいました。

もしログ情報しか取得していない場合、漏えいがあった通信ログは分かったとしても、どのような攻撃が行われたか、や、実際に漏えいしたファイルの内容などはわかりません。

ここでは、ネットワークフォレンジック技術を活用することにより、悪意のある侵入者が端末上で操作した内容、例えば外部サーバーにファイルを転送した場合であればその通信を再現し、ファイルを受信した外部サーバーの特定だけではなく、漏えいしたエクセルファイル自身も再現することができました。

このように「警告」情報でログからは追うことができない情報をトラフィックパケットから得ることができるのです。

海外での事例になりますが、ログ情報も同時にフォレンジックツールに取り込み、フォレンジックツールの解析技術を活用することにより、普段はアクセスをしない人物が特定の情報にアクセスをした場合などのアノーマリーを検出、警告を上げ、さらに当該人物の行動を分析するといった利用方法が報告されております。

インシデントをより正確に把握し、素早く、正しく対応するために、是非NIKSUN製品をご検討ください。

弊社ネットワークバリューコンポーネンツでは、サイバーセキュリティソリューションであるNIKSUNを提供しています。

NIKSUNは、100Gbps以上の速度でネットワーク上を流れるすべての情報を即時にキャプチャできるネットワーク監視アプライアンスを提供します。セキュリティ上の脅威やパフォーマンス上の問題、またコンプライアンスにおけるリスクに対し、最も深い洞察をもたらすネットワークフォレンジック製品です。

1つのコンソール上で複数ネットワークにわたる情報を分析し可視化すると共に、ワンクリックでリアルタイムにネットワークの状態を可視化します。もしご興味がございましたらお気軽にお問い合わせください。
NIKSUN NetDetector カタログ

RECENT POST「ネットワーク」「セキュリティ対策機器」の最新記事

フィッシング対策ってなに?何をすれば良いの?5分で解説

2024.11.20

フィッシング対策ってなに?何をすれば良いの?5分で解説
今話題のSecure Access Service Edge (SASE)とは【2024年版】

2024.11.05

今話題のSecure Access Service Edge (SASE)とは【2024年版】
ゼロトラストネットワークとは?【2024年版】

2024.10.07

ゼロトラストネットワークとは?【2024年版】
今話題のCSPMとは?実はクラウドセキュリティはCSPMだけでは不十分って本当??

2024.10.04

今話題のCSPMとは?実はクラウドセキュリティはCSPMだけでは不十分って本当??
導入事例から見るネットワークフォレンジックの活用方法
NVCへのお問い合わせ
State of Cloud Security Report クラウド環境の深層に潜むリスクを解明

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

TOPICトピック一覧

セミナー・イベント