フォレンジックとPacketBlackHole
コンピュータ・フォレンジックとは、コンピュータのデータを取得し、それを分析し、犯人を突き止めるまでの一連の作業のことを言います。具体的には、個人情報を漏洩させた内部の容疑者を特定したり、踏み台にされた場合に潔白を証明したりする、原因究明と事後対策に欠かせないのがフォレンジックです。個人情報漏洩や不正アクセスなどコンピュータを使った犯罪が増加の一途をたどる昨今、こうした事故や犯罪を未然に防ぐための対策だけでなく、フォレンジックの重要性も、ますます高くなっています。
特に法的訴訟に際しては証拠能力のあるデータの採用が必要とされますが、改ざん・消去が容易なデジタルデータの場合には、証拠としての信頼性が難しい問題でもあるでしょう。また通常のアクセスログの保存期間はさして長いものではなく、アクセスログだけで立証できることにも限界があります。
ところがすべてのデータを長期的に保存でき、外からの改ざんが不可能なPacketBlackHoleなら、そうした心配はありません。更に情報漏洩の一発検索機能のために、原因究明のスピードアップと人的・時間的コストの削減も図れます。
データの完全な保全
インシデントの発覚後には、まずあらゆるデータの保全を図り、被害範囲の確定と原因の究明にとりかかる必要があります。初期動作たるデータの保全が不完全であれば、その後の作業も不完全なものとならざるを得ないからです。ところが不正アクセスの場合、侵入者は痕跡を残さないようファイルやログの削除などを行うことが多いため、証拠を発見すること自体が難しいのが現状です。それでもフォレンジックの際には、侵入の痕跡削除の履歴までが残っている必要があります。
PacketBlackHoleは、飛行機事故を解明する際に利用されるボイスレコーダのように、ネットワークを出入りするすべての通信を記録しており、外部からその記録が削除・改ざんされるということがありません。また外部から存在が感知されないステルス性のため、攻撃の対象となることもありません。攻撃や不正アクセスの手口を解明するためのデータの保全が、PacketBlackHoleならば完全な形でなされているということです。また、攻撃を受けた記録があるばかりか、どこから侵入を受けたか・誰が攻撃したかの分析までPacketBlackHoleで提供できますので、フォレンジックに大きな助けとなるでしょう。
一発検索で情報漏洩解明
内部からの情報漏洩の場合は、誰が漏洩させたか、どれだけの情報が漏洩したかの解明が的確にできなければなりません。情報の漏洩元を特定し情報の内容や規模を確定するためには、あらゆるデータが保全されている必要があります。定常業務が滞りなく行われているかの監視だけなら、アクセスしたWEBサイトが判別でき送信したメールが再現できる程度でも構わなくとも、賠償責任や営業停止に発展しうるインシデントの場合は、そこまで徹底したフォレンジックがシステム管理者には要求されると言っても過言ではないでしょう。
ところが膨大なデータの中から情報漏洩に関わるメールをピックアップするのは、大変な作業です。その分析を外部業者に依頼することもありますが、更なるコストもかかり、個人情報取扱いに関するリスクが増すおそれもでてきます。
PacketBlackHoleならば、ブラウザのボタンをワンクリックするだけで、情報漏洩に関わったことが疑わしいメールを検索する機能があります。またそのメールの本文や添付ファイルを、そのままのかたちで再現することもできます。情報の漏洩ルートが一発検索で解明すれば、即座にプレスリリースや訴訟、再発防止対策などの次の動作に入れます。また添付ファイルの再現によって被害範囲の特定ができれば、従来の「漏洩したかもしれない」という情報に対する対策経費までが削減できます。
証拠としての信頼性・全体性
実際、組織内で活用するためのデータを得るだけでなく、それを法廷でも利用できるものとするためには、フォレンジックの際には信頼できる手段で証拠を集めて調査・分析する必要があります。その留意点として
「証拠収集とアーカイビングのためのガイドライン (Guidelines for Evidence Collection and Archiving)」などがあります。それには、法的な考慮事項として、証拠となるデータが、まず改ざんされていないこと、消去されず全体的なものであること、収集の方法や扱われ方に問題がないことなどが挙げられています。
すでに説明したような理由から、PacketBlackHoleのデータは、証拠として利用できる信頼性・全体性に問題はないと言えるでしょう。PacketBlackHoleの導入は、フォレンジックを強力にサポートします。
