不正アクセスなどのインシデントが起きた場合、原因究明など確実に行うため、デジタルフォレンジックス、証拠保全を行う必要がある。
今回はこれらの具体的な技術や手法についてまとめていく。
コンテンツ
デジタルフォレンジックス
デジタルフォレンジックスは法科学の分野の一つで、不正アクセスや情報漏洩による法的な争いが起きた際に、原因究明のために必要なデータを収集・分析し、法的な証拠性を明らかにする手段の総称である。
例としてログファイルなどを法的証拠とするためには、ログが改ざんされないようにする必要がある。
また、複数のログを突き合わせ、不正アクセスの侵入経路を追跡できるようにするなどの工夫も必要である。
ログファイルの証拠保全技術
ログファイルの証拠保全技術として、代表的なものに次があげられる。
NTPによる時刻同期
ログを証拠として成立させるために、時間が正確でサーバー同士の時刻が同じになっている必要がある。
そのために使われるのがNTP(時刻同期プロトコル)で、時刻同期が行われていれば攻撃者によるサーバー侵入の順番がわかるため、アクセス経路の特定の際に非常に重要な情報となる。
SIEM
Security Information and Event Managementの略で、ログを収集し、そのログ情報を分析して異常があれば管理者に通知する仕組みのこと。
インシデントに発展する恐れのあるものをリアルタイムで監視し、未然にインシデントの発生を防ぐのに役立てることができる。
WORM
Write Once Read Manyの略で、データの書き込みが一度だけしかできない記憶媒体のこと。(読み込みは何度でも可能)
ログなどの書き込みに利用されることが多い。
ブロックチェーン
仮想通貨で使われている技術で、ログごとのハッシュ値を連続で繋げることで、ログの完全性と順番を保証することができる。
電子透かし
画像や音楽などに情報を埋め込む技術で、著作権情報などを明らかにし、データの不正コピーや改ざんを防ぐことができる。
画像データに秘密にしたい情報を埋め込む技術をステガノグラフィといい、電子透かしの元になった技術でもある。