ネットワーク上の通信を完全保存
5. コンピュータ・フォレンジックによる証跡の正当性
保存したログが正しい情報であり、ログに記された行為に問題がある場合は、「何が実際に行われたのか」を明らかにする必要があります。また、問題が起こっていてもログで取得できなかった場合もあります。これらのケースで有効なのが、個々のコンピュータの内部情報を取得する「コンピュータ・フォレンジック」です。それ自体の正当性を担保し、データを壊さないために、専用のフォレンジック・ツールを使うのが一般的です。
サーバーやクライアントなどのコンピュータは、OSやアプリケーション・プログラム、ネットワークや情報の取り扱いについての多くのログを、自動的に残します。こうしたログ情報には、例えば、イベント情報、システム・ログ、レジストリ、復元ポイントなどがあります。
また、何らかの作業によって情報を削除したり変更したりした場合は、ディスク内にそれらの情報に関係するいくつかの痕跡が残ることがあります。この痕跡情報を利用することによって、これまでの連載で解説してきた手法を用いて、取得したログ自体の詳細情報と正当性を確認することができます。
6. 監査対象のログの正当性
監査時に証跡として提出されたログ・ファイルに含まれる、各種の日付情報、アクセス権限変更、暗号解除などの履歴が、取得ログ・ファイルが保存されたコンピュータのOSやアプリケーションに残された履歴と一致することによって、証跡としての正当性を証明できます。
つまり、監査時に提出されるログ・ファイルの正当性を調べることにより、予定通りに記録され、改ざんされることなく保管されていた、正当な情報であることを示すことができます。別のファイルである可能性や、ファイルの一部を書き換えた形跡の有無を調べることで、ログの正当性を証明できるのです。
7. 過去の問題を解析
ログさえ残っていれば、基本的には、問題を迅速に発見し、その対策を迅速に行うことができます。
情報がログに残されていない場合や、情報が故意に削除される場合もあります。こうした場合でも、ウイルス感染による情報漏えいや、不正行為によるファイル改ざん、システムへの不正侵入によるファイルの削除や変更においては、必ず何らかの痕跡が残ります。これらはすべてOS上で行われるからです。
コンピュータ内部の情報をUSB接続経由で持ち出したり、反対に持ち込んだりするケースもあります。こうして持ち出された/持ち込まれたデータは、特定が困難になる場合があります。しかし、USBメモリーが差し込まれた日時、ベンダー、型番、シリアル番号などの情報が、OSによって記録されているため、これをもとに解析することが可能です。
正しく解析するためには、多くの解析経験から生まれる"勘"を必要とします。このため、専門のフォレンジック業者に依頼することが賢明です。
コンピュータ・フォレンジックを自社内で行う場合は、専門家が「一番使いやすいフォレンジック・ツール」と評価している、ドイツのX-Ways Softwareが開発した「X-Ways Forensics」を勧めます。筆者が所属するディアイティが無償で提供している「プログラムの実行履歴表示プログラム」や「USBメモリ接続記録表示プログラム」も、解析時間の短縮に役立ちます。
