KPMGは、デジタルフォレンジックの手法を活用し、サイバーインシデントが発生した際の重要なプロセスの1つである証拠保全、および詳細分析(被害箇所・被害内容の特定、侵入経路、および攻撃手法等の把握を目的とした調査)のサービスを提供します。
フォレンジック調査の意義
封じ込めと原因の除去
インシデントが発生した際は、被害を最小限に抑えるために、外部ネットワークとの通信の遮断やシステムの一時的な停止等、短期的な封じ込めが最優先となります。その上で、平常時のオペレーションに戻すために、恒久的な封じ込めや侵害の影響の除去を実施していく必要があります。
この際の検討や判断材料として、フォレンジック調査によって把握された、侵入経路や攻撃手法、攻撃に利用された脆弱性、侵害の範囲に関する情報は非常に重要なものとなります。
ステークホルダーに対する説明責任
特に情報漏えいの懸念が生じた場合等においては、監督官庁や株主、顧客、取引先や自社の従業員への説明責任を果たすことが求められます。
フォレンジック調査の実施により、インシデントによる顧客や取引先等への影響を把握することは、説明責任を果たす上で重要な手続きの1つとして認知されるようになってきており、近年では、情報漏えいの範囲となった可能性のある取引先から、フォレンジック調査を要求されるようなケースも増加しています。
再発防止策の策定
フォレンジック調査を実施し、PC/サーバー、ネットワークのセキュリティ設定やパッチの適用状況、ログに記録された実際の操作やアクセスの状況を把握することにより、設定の不備や運用上のルール違反等、インシデント発生の根本原因となった可能性のある問題点が把握されることが多くあります。
フォレンジック調査の結果は、インシデントの再発を防止するために、組織のセキュリティ管理体制や運用を改善していくことにも活用できます。
フォレンジック調査の例(PC/サーバー)
PCやサーバーを対象としたホストフォレンジック調査の標準的な内容は以下の表のとおりです。
なお、発生したインシデントの内容や対象システムの環境、調査対象機器内のデータの残存状況等に応じて、調査範囲や調査内容を都度検討します。
| 調査視点 | 調査対象データ | 調査内容 |
|---|---|---|
| データ復元 | ・HDD等のイメージコピー | 行為者の証拠隠ぺい等を調査するために、HDD等内の未使用領域に対しデータ復元処理を実施する。 ※以降の調査は、復元されたデータを含めて調査対象とする。 |
| 自動実行分析 | ・タスクスケジューラー ・レジストリ |
マルウェアがバックドアや情報収集等の目的で利用するためのプログラムを自動実行させていないかを確認するために、タスクスケジューラーやレジストリの情報を分析する。 |
| タイムライン分析 | ・イベントログ・システムログ ・プリフェッチファイル ・ファイルタイムスタンプ ・レジストリ等 |
行為者の行動を把握するために、イベントログ・システムログ、プリフェッチファイル、ファイルタイムスタンプ、レジストリ等を収集・統合して時系列に分析する。 |
| 実行形式ファイル分析 | ・メモリダンプ ・既存ファイル ・復元ファイル |
マルウェアが利用している可能性がある実行形式ファイルを特定するために、メモリ上の実行形式ファイル、タイムライン分析にて確認されたインシデント発生日時のあたりで作成・更新された実行形式ファイル、およびシグニチャが偽装されているファイル等を分析する。 |
| 不審プログラム分析 | ・行為者が不正アクセスするために利用している可能性がある実行形式ファイル | 行為者が不正アクセスするために利用している可能性がある実行形式ファイルに対し、どのような動作をするのか把握するために、既知情報と照合する。 既知情報が見当たらない場合は、メモリ分析、静的分析、動的分析等を実施する。 |
フォレンジック調査内容例(各種ログデータ)
ネットワーク機器やサーバー等のログデータを対象としたフォレンジック調査の内容例は以下のとおりです。近年では、従来のオンプレミスのシステム環境から、クラウドを活用したシステム環境への移行が進展していることから、クラウドサービスの監査ログやクラウドサービスにアクセスするためのネットワーク機器のログの重要性が増しています。なお、ログ分析についても、発生したインシデントの内容や対象のシステム環境、ログの保管状況等に応じて、調査範囲や調査内容を都度検討します。
| 調査視点 | 調査対象データ | 調査内容 |
|---|---|---|
| なりすまし等による不正アクセス | ・クラウドサービスのアクセスログ ・VPNアクセスログ |
クラウド型のメールサービスやVPNリモートアクセスサービス等について、業務上は発生し得ないような国からのアクセスや深夜時間帯等、IDの所有者の身に覚えのないアクセスの履歴の有無を調査する。 |
| 不審なドメインとの通信 | ・F/Wログ ・DNSクエリ ・PROXYサーバーログ |
攻撃に利用されることが知られているような既知のドメインや、通常業務では発生しないようなドメインとの通信履歴の有無等を調査する。 |
| 不審な宛先へのデータ送信(情報流出) | ・F/Wログ ・PROXYサーバーログ |
不審な宛先へのデータ送信量や回数を分析し、情報流出の可能性の有無について調査する。 |
| 不審なメールの送受信履歴 | ・メール送受信ログ ・メールアーカイブ |
フィッシングメール等の不審メールの受信の有無を調査する。 メールアカウントの保有者本人の身に覚えのない不審なメール送信履歴について調査する。 |
| ウェブサーバーへの不正アクセス | ・ウェブアクセスログ ・WAFログ |
SQLインジェクション等の脆弱性を突いたアクセスログを特定し、情報流出した可能性のある情報について調査する。 |
グローバルでのサービス提供に強み
日本国内でのサービスに加え、グローバルでのサービスを提供できることがKPMGの強みです。
海外拠点で発生したインシデント対応は、現地のKPMGメンバーファームと協力してサービスの提供を行います。
