ネットワークフォレンジックとは一体なんなのか?基本を解説

 2019.02.28  2024.06.21

2015年、日本年金機構で発生した100万人以上の個人情報漏えい事件はまだ記憶に新しいでしょう。この事件では「標的型攻撃」により、職員の端末がマルウェアに感染し、攻撃者は短時間で大量の情報を収集/送信したとされています。

それから多くの企業でセキュリティ意識を高める動きが活発になりました。2017年にはランサムウェアの「Wannacry」が世界中で猛威を振るい、企業のセキュリティに対する姿勢はより強固なものになりました。

そうした経緯からかここ数年ではサイバー攻撃件数が減少傾向にあります。しかし安心はできません。2019年には情報漏えい件数が爆発的に増加するという見解もあり、依然として油断はできない状況です。

従来のセキュリティ対策といえば、クライアントPC(エンドポイント)にインストールするアンチウイルスソフトや、ネットワーク間の通信を監視するファイアウォール、ネットワーク内の監視および不正侵入を阻止するIDS/IPS(Intrusion Detection System/ Intrusion Protection System)、アプリケーション単位でネットワーク通信を制御する次世代ファイアウォールなど、サイバー攻撃を未然に防止することを目的としていました。

しかし、2014年5月にシマンテックの上級副社長であるブライアン・ダン氏が発言した「アンチウイルスソフトは死んだ。これからは侵入されることを前提に対策する必要がある」という言葉通り、従来のセキュリティ対策だけでは高度なサイバー攻撃を防ぐことが難しい時代です。

そんな中で注目されているセキュリティ対策があります。それが「ネットワークフォレンジック(Network Forensics)」です。本稿では、このネットワークフォレンジックの基本について概説します。

ネットワークフォレンジックとは?

フォレンジック(Forensics)という言葉はもともと医学用語として使用されているものです。「法医学的な分析および調査」という意味があり、警察が事件/事故現場で行う「鑑識」をイメージすると分かりやすいでしょう。事件/事故が発生した際には、現場の状況を保全し、調査し、解析します。

このフォレンジックにネットワークを付け足したのがネットワークフォレンジックです。一般的に情報セキュリティインシデントが発生することを想定して、ネットワーク上のデータの動きを調査/解析して、「どの端末が/いつ/どのような経路で/何を送信したのか」といった内容の情報を、完全性を保った状態で記録しておくものです。

ログ収集だけにしていませんか? 最先端ツールでフォレンジックを見直し
フルパケットキャプチャ(FPC)の必要性

情報セキュリティインシデントの脅威は無くならない

ネットワークフォレンジックは従来のセキュリティ対策と違い、サイバー攻撃を未然に防ぐのではなく、万が一情報セキュリティインシデントが発生した時のことを考えて、ネットワーク上に流れる情報を保管するというセキュリティ対策です。そのため「事件を防げないセキュリティ対策に何の意味があるのか?」と、疑念を抱く方もいるかもしれません。

しかし、ネットワークフォレンジックは今後間違いなく必要なセキュリティ対策の1つです。その最大の理由が、情報セキュリティインシデントの発生はもはや「万が一」ではなく、「百が一」程の割合で発生していることです。

2017年に起こったWannacryのパンデミックから1年、2018年にはそれほど大きな情報セキュリティインシデントは発生しないと考えられていましたが、2018年6月プリンスホテルは、外国語による予約システムを運用する委託先が不正アクセスを受け、個人情報12万4963件が流出したことを明らかしています。予約サイトの委託先サーバが不正アクセスを受けたもので不正アクセスは2回にわたり、1回目は43ホテルにおける5万8003件の顧客情報が流出、さらに2日後となる6月17日の不正アクセスでは、クレジットカード情報が被害にあいました。被害にあったデータは、同サイトで予約した顧客の氏名や住所、国籍、メールアドレス、予約金額、ホテル名、チェックインやチェックアウトの日程、カード情報などが含まれています。
また、海外においても昨年暮れにリッツカールトンなどの世界的なホテル/リゾート事業を展開するマリオット・インターナショナル(スタンフォード)では、同社の運営する世界最大のホテルチェーン企業であるスターウッドにて長年にわたり不正通信があったことが発覚し、それによって約5億人もの顧客情報が流出したと発表しています。

そのうち3億2,700万人の記録には、氏名/住所/電話番号/生年月日/性別/メールアドレス/パスポート番号/スターウッドのポイントプログラム情報(ポイント残高を含む)/到着および出発日の情報/予約日/好みの連絡手段などの情報が含まれていたと述べています。欧州全体ではすでにGDPR(General Data Protection Regulation:一般データ保護規則)が施行されているため、これに該当すればマリオット・インターナショナル(およびスターウッド)は最大でグローバル年間売上の4%という大きな罰金を受ける可能性があります。
出典:TechCrunch 米マリオット、スターウッド・ホテルズの顧客5億人の情報流出

この情報セキュリティインシデントは、2019年に多くの企業で潜在的なサイバー攻撃が発覚することと、新たなサイバー攻撃によって多くの企業や個人が餌食になることを暗示しているかのようです。

ネットワークフォレンジックはなぜ必要なのか?

ネットワークフォレンジックがすべての企業にとって必要なセキュリティ対策となる所以は、前述の通り情報セキュリティインシデントの脅威が無くなることはなく、今までは万が一だった確率がここ数年で急激に上昇していることです。従って「情報セキュリティインシデントが発生することを想定したセキュリティ対策」が最重要と考えられています。

しかしながら、ネットワークフォレンジックはサイバー攻撃を直接的に防ぐセキュリティ対策ではありません。ではなぜ必要なのか?そのポイントを解説します。

コンプライアンス対応に向けて

情報セキュリティインシデントが発生した際に、必ず求められるのがコンプライアンスへの対応です。特に最近では、欧州全体で施行されたGDPRなど政府の企業に対するセキュリティ要件が非常に厳しくなっており、日本でも今後取り締まりが強化される予定です。もしも専門機関が求める情報を提供できなければ、証跡不十分とされる可能性もあります。それを回避するためにもネットワークフォレンジックによる証跡保存が欠かせません。

インシデント発生時、迅速な対処のために

企業の中で情報セキュリティインシデントが発生した場合、大切なことは限りなく迅速に原因を究明し、課題を発見し、対処をし、二度とインシデントを起こさないための行動をすることです。個人情報等が漏えいすることで社会的信用を失うことは確実ですが、その後の対処によって信用が回復するかどうかに大きく関係します。そのため、ネットワークフォレンジックによって情報セキュリティインシデントの対処を迅速化することが大切です。

証跡保存によって内部不正をゼロに

情報漏えい等のインシデントは、内部不正によるものも少なくありません。2014年にはベネッセコーポレーションにて2,000万件以上の個人情報漏えい事件が発生しましたが、その原因は業務委託先のシステムエンジニアによる内部不正でした。このように情報セキュリティインシデントは内部にも要因が潜んでいます。ネットワークフォレンジックを導入している企業では、組織全体が証跡保存をしていることを理解していることで、内部不正の抑止力としても機能させることができます。

ネットワークフォレンジックで外部からのサイバー攻撃を未然に防ぐことはできません。しかし、ネットワークフォレンジックがあれば、どういった経路で攻撃を受け、どんな情報が、どんな手段で、どこに送信されたのかを明確に把握することができます。今の時代、サイバー攻撃を未然に防ぐだけではなく、サイバー攻撃を許してしまった時のことを考慮したセキュリティ対策も大切だということです。

[SMART_CONTENT]

NVCが提供するネットワークフォレンジック製品 NIKSUNとは?

弊社ネットワークバリューコンポーネンツでは、サイバーセキュリティソリューションであるNIKSUNを提供しています。NIKSUNは、100Gbps以上の速度でネットワーク上を流れるすべての情報を即時にキャプチャできるネットワーク監視アプライアンスを提供します。セキュリティ上の脅威やパフォーマンス上の問題、またコンプライアンスにおけるリスクに対し、最も深い洞察をもたらすネットワークフォレンジック製品です。1つのコンソール上で複数ネットワークにわたる情報を分析し可視化すると共に、ワンクリックでリアルタイムにネットワークの状態を可視化します。もしご興味がございましたらお気軽にお問い合わせください。

NIKSUN NetDetector カタログ

RECENT POST「ネットワーク」「セキュリティ対策機器」の最新記事


ネットワークフォレンジックとは一体なんなのか?基本を解説
NVCへのお問い合わせ
State of Cloud Security Report クラウド環境の深層に潜むリスクを解明

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング