ネットワーク内を流れるすべての通信データを取得し、過去に発生した事象に対する証拠の保全や不正アクセスの追跡を行うことができる仕組みです。情報漏えいインシデントに対して有効に機能します。
フォレンジック(forensic)は、もともとは犯罪捜査などに用いられる言葉で、一般的に「法廷の~」「法医学の~」といった言葉を指す形容詞です。フォレンジックスという名詞になると「鑑識課」「科学捜査」を意味します。例えば、指紋や足跡、血痕など犯罪立証のための物的証拠を採取する“鑑識”の役割を果たすものが“フォレンジック”として考えるとイメージしやすいでしょう。
このフォレンジックの考え方をコンピュータの世界に応用し、組織内部での不適切なWebアクセスやメール利用に対して調査を行うものがフォレンジックツールです。このフォレンジックが登場した背景には、個人情報をはじめとした機密情報の漏えい事件や特許侵害などに関する民事訴訟が頻発したことで、従来のセキュリティ対策だけでは脅威に対抗することが困難になりつつあるという実態があるからです。そこでフォレンジックツールには、事象発生後の「証拠保全」「解析」「証拠提出」を行う機能が装備されており、これまでのセキュリティ対策では困難だった不正アクセスの追跡や情報漏えいインシデントの発見などが可能となります。
フォレンジックには、大きく分けて2つの製品群が存在します。PCやサーバーのHDD内に残っているデータの痕跡を調査するコンピュータフォレンジックと、ネットワーク内を流れるすべての通信データを取得して調査を行うネットワークフォレンジックです。
コンピュータフォレンジックでは、調査対象となるPCのHDDを証拠用と解析用に複製し、解析用のHDDを詳細に調査することで、証拠隠滅のために消去されたデータであっても復元することが可能です。ただし、あくまでインシデント発生後に調査するためのツールであり、怪しい挙動のPCを事前に検知することや情報漏えいが発生した経路の特定など通信データを追跡することはできません。
ネットワークフォレンジックでは、ネットワーク内に流れるすべての通信データを取得するため、どのPCからどのネットワーク機器を介して情報が流出したのか、詳細な経路の特定が可能です。しかし、USBメモリやモバイルカードなど企業ネットワークを介すことなく行われるやり取りに関しては検知できません。
このことから分かる通り、2つの製品群はフォレンジックの両輪となっており、ネットワークフォレンジックが持っている通信データ解析で不正PCの特定を行い、特定された不正PCを直接コンピュータフォレンジックで調べていく、という使い方が一般的です。
特にネットワークフォレンジックは、ネットワークにフォレンジックツールを配置して通信データを取得し、不審な挙動をしているPCがあれば、管理者に警告を出し、その端末の操作データを追跡することができます。ネットワークフォレンジックの存在を組織内の人々に周知することで、情報漏えいに対する抑止効果が得られるのです。
