フォレンジックとは?
コンプライアンスへの意識が高まる中、近年頻発する個人情報や機密情報の漏洩などの問題は、従来のセキュリティ対策だけでは対応することが困難になりつつあります。
そこで、組織内部における不適切なWeb利用や電子メール利用に対して調査を行うことのできるフォレンジック製品が、新会社法 や 日本版SOX法 などに対する有効な手段として注目を集めています。
フォレンジック (forensic) とは、一般的に「法廷の~」「法医学の~」といった言葉を指す形容詞であり、"フォレンジックス"と名詞になると、「鑑識課」「科学捜査」などの意味になります。
例えば、実際の事件現場で指紋採取などの物的証拠を集めるための鑑識の役割を果たすものがフォレンジックです。
つまりフォレンジックとは、過去に発生した事象の「証拠保全」、「不正アクセスの追跡」を行う手段です。
よってフォレンジック製品には、"事件"発生後の「証拠保全」「解析」「証拠提出」などを行うことのできる機能が装備されています。
ネットワークフォレンジックとは?
フォレンジックには、大きく分けて2つの製品群が存在します。ネットワーク内を流れる全パケットを取得する ネットワークフォレンジック と、直接PCやサーバのHDDを調査する コンピュータフォレンジック です。
この2つの製品群の大きな違いは、ネットワーク上に流れる「パケット」単位で情報を解析するのか、HDD内に記録された情報を解析するのか、という点にあります。
ネットワークフォレンジック では、取得したパケットがどのネットワーク機器を通ったかという経路まで解析することができるため、挙動の怪しい不正端末を特定しやすいという特徴があります。
また、コンピュータフォレンジック では、調査対象となる端末のHDDを証拠用と解析用に2つ複製し、解析用のHDDにおいて消去されたファイルの内容まで判別することができ、証拠を特定し、保全することが可能になります。
一般的に、これら2つの製品群はフォレンジックの両輪となっており、ネットワークフォレンジック のログ解析で不正端末の特定を行い、特定された不正端末を直接 コンピュータフォレンジック で調べていく、という関係にあります。
特に ネットワークフォレンジック は、ネットワークにフォレンジックツールを配置してパケットを取得し、不審な挙動をしている端末があれば、管理者に警告を出し、その端末の操作ログを追跡することができます。また、このようなツールの存在を組織内の人々に周知することで、実際的な抑止効果が得られることが確かめられています。
