サイバーセキュリティを強化するデジタルフォレンジック入門

熊谷氏

病院は、多くの方にとって病気やけがなど何か具体的な症状がなければ行かない場所だと思います。当社が提供するサービスはそれと同じです。サイバーリスクによってダメージを負った組織から依頼を受けて、元の状態に戻す。マイナスからゼロまで回復させて通常の事業運営ができるよう支援します。提供するのは、お客様のビジネスをサイバーリスクによってマイナスにしないこと、ゼロのキープです。

当社の使命は、お客様のデジタルデータに関する問題の解決です。会社名には事業ドメインをそのまま使用しました。「困った人を助け、困った人を生み出さず、世界中のデータトラブルを解決します。」を企業理念として、「データリカバリー」「フォレンジクス」「サイバーセキュリティ」の3つが事業の柱です。

データリカバリーでは、ハードディスクやサーバーなどデータが失われた際、データを復旧して元どおりにするサービスを展開。この分野では、14年連続で国内売上No.1の実績を挙げています。フォレンジクスは、データの持ち出しや暗号化など、世の中の不正や犯罪の証拠をつかむことが主軸の事業です。さらに、サイバーセキュリティ事業では、サイバー攻撃からお客様のデータを守ります。

熊谷氏

一般的にはそうですね。ただ、あの報告書を見る限り、個人所有のスマートフォンを調査対象として提供した方もいたようです。通常、警察の犯罪捜査でない限り、個人所有の端末の提出は任意です。会社貸与であっても、規約をどのように定めているかに影響される可能性があるような気はします。

熊谷氏

そうですね。問題が発生すれば、企業は当然調査しなければなりません。でも、個人所有の端末を会社に提出しても構わないと思う人はほぼいませんよね。

熊谷氏

LINEは、不正アクセスによる情報漏洩が問題になった際に暗号鍵が端末ごとに生成・保持される仕様に変更され、バックアップファイルだけではデータの復元が難しくなりました。テレビ局の件では、第三者委員会の報告書に「一部のLINEデータは完全には復元できず」と書かれています。これを見ると、ある程度は復元できたように受け取れますが、復元の基になったのは削除したデータではないといううわさもあるようです。真相はわかりませんが、やりとりを残していた人から提供を受けるなど、別の方法を使った可能性もあり得ます。

熊谷氏

もちろんです。そして、事実の解明にはSKYSEA Client Viewなど端末のログが収集できるシステムも欠かせません。内部不正でもサイバー攻撃でも、実際に起こったことの証拠として調査レポートが残っていなければ、組織にとって後から不利に働く可能性もあります。裁判で争うことになったとき、調査レポートは重要な証拠です。調査した結果、特に問題がなかったとしても、問題がなかったことを証明する記録として残しておく必要があります。

熊谷氏

そのとおりです。近年、取引先等に安心していただくことを目的として、調査を依頼されるお客様が増えています。調査結果のレポートを提示すれば、誠実な対応だと受け取られますし、どこまで公表するかは別にして、調査結果を自分たちに有利に使うことも可能です。

熊谷氏

多いですね。ログがなくても調査レポートは作成できますが、調査できることがかなり限られてしまいます。私どもとしては、少ない労力で作業を完了できるので、ある意味ありがたいことかもしれませんが、ログが多ければ多いほどより具体的にレポートを提供できます。今後、世間一般的にコンプライアンスに対しての認識がより厳しくなっていくのは間違いありません。サーバーはもちろん、クライアントPCのログが取れない環境で業務を行うことは、組織の評価を下げる結果につながると考える必要があるでしょう。

出張時の交通費や宿泊費を精算する際、証拠として領収書を提出しますよね。それと同じように、業務でPCを使うならログを取る、取られるのが当たり前という認識に変わっていくべきだと思います。

熊谷氏

一昔前まで、PC1台の調査費用の相場は約200万円でした。現在は技術の進歩もあって、自動化やAIの導入により100万円前後まで下がっています。従来、サイバーフォレンジックでは被害が発覚した端末だけでなく、ネットワークに接続されているPCすべてを調査対象として網羅性を担保していました。高額で調査に時間がかかる印象を持たれる方が多いのは、それも関係していると思います。さらに、近年は技術の進歩によってハードディスク等の記録メディアが大容量化するなど、従来のやり方ではPC1台の調査にかかる時間がさらに増大していますから、迅速さが求められる初動対応にも影響必至です。そこで近年では、網羅性よりも被害全容を効率的に把握することを目的とした「ファストフォレンジック」という新しい概念が生まれています。ファストフォレンジックでは、調査対象の端末に専用のソフトウェアをインストールし、AIが怪しいと判断した端末に対し、ディープフォレンジックをかけます。全端末への調査が不要になることで、コストを抑え時間も短縮できるようになりました。

熊谷氏

以前、当社にご相談される前に格安のサービスを利用されたお客様からお話を伺ったことがあります。そのお客様は、フィッシング詐欺の被害に遭ったにもかかわらず、調査レポートは「ウイルスへの感染は認められず、問題なし」と書かれた1枚だけだったそうです。費用は9,000円弱だったと伺いました。実態は不明ですが、該当のPC1台にウイルススキャンを実行しただけだったのかもしれません。本来、フォレンジックの報告書は、裁判で通用するように作成するのが基本です。そのため、いくつかのルールに沿って対応する必要があり、とても数千円や数万円でできる作業ではありません。

熊谷氏

当社への依頼は、7割が内部不正です。デジタルフォレンジックは、大きくリーガルフォレンジックとサイバーフォレンジックの2種類に分かれますが、内部不正の調査で用いられるのはリーガルフォレンジックです。今は大転職時代といわれていますから、不正競争防止法に抵触するような、転職先に顧客情報等を持ち出された企業からの依頼も確かに増えています。しかし、最も多いのはルールを逸脱してしまった人の潔白証明です。例えば、派遣先の企業では私物PCへのデータ転送が禁止されているにもかかわらず、自宅で仕事をするために業務データを転送。派遣先から不正を疑われているので潔白を証明してほしいといった内容です。

熊谷氏

まったく異なります。対応するエンジニアに高い技術力が求められるのは、圧倒的にサイバーフォレンジックです。リーガルフォレンジックは、対象者へのヒアリングと証拠となるデジタルデータの保存と収集ができていれば、専用のツールを使用して解析することでレポートが作成できます。エンジニアを育てるのも、教育プログラムに沿ってそのとおりにやっていれば問題ありません。一方、サイバーフォレンジックは、決まった教育プログラムだけで育成するのが難しく、必要な技術もどんどん変化していきます。経験値を積むのはもちろん、センスも重要な要素です。

熊谷氏

当社の強みは、人を育てる方針と文化に加え、AIの活用などシステム面の仕組みを充実させ、オペレーションについては個人の技術力だけに頼らない体制を整えていることです。

「D-SOC」を立ち上げるに当たって、技術開発後に最初に取り組んだのが、教育カリキュラムの作成です。完成までに約1年半かかりましたが、サイバーセキュリティエンジニアを増やす体制を整えることができました。サイバーセキュリティエンジニアのオペレーションだけであれば、入社3か月で現場に配属できます。

近年、エンドポイントセキュリティや境界型防御だけではサイバー攻撃を防ぐのが難しくなりました。「D-SOC」は、SIEMSOCという種類のSOCサービスで、社内のPC、サーバー、クラウドなど、すべてのログを収集・分析し、24時間365日体制でネットワークやデバイスを監視。サイバー攻撃の検出・防御を行います。

独立行政法人情報処理推進機構（IPA）の調査報告「2024年度中小企業等実態調査結果」によると、不正アクセスの被害に遭った企業のうち約5割の原因が、脆弱性を突かれたことでした。しかし、多くの組織では脆弱性対策を自分たちだけで行うのは難しいと感じられているため、各種ログデータを収集・分析し有人で監視するセキュリティ体制を提供することが急務だと考えています。

熊谷氏

近年、国内市場の縮小や後継者不足による事業継承の問題など、さまざまな要因でM&A（Mergers and Acquisitions）が増加しています。多くの場合、財務デューデリジェンス（DD）や法務DD、事業DDなど、M&Aで一般的に行われている調査については実施されますが、合併・買収する相手企業のセキュリティ対策まで意識されることはまずありません。見落とされがちなサイバーDDですが、M&A後にサイバー攻撃の被害が発覚して大変な事態になるケースが少なくないことから、投資会社や証券会社では本格的に取り入れる重要性をアピールされ始めています。サイバーDDは、サイバー攻撃による被害の大きさから注目されるようになり、マーケットも拡大中です。

また、ランサムウェアへの感染が原因で、倒産した企業があることも知っていただけたらと思います。感染によって業務停止を余儀なくされ、売上が減少。その結果、経済的損失が発生し、倒産してしまう可能性はゼロではありません。

熊谷氏

セキュリティ対策は、入口・内部・出口の3か所を強化する必要がありますが、外からの侵入を防ぐための入口対策だけに注力している企業がまだまだ多いと感じます。それも、10年くらい前の対策のまま。サイバー攻撃を取り巻く環境は変化していますから、対策も攻撃に合わせて進化させなければ、感染時に事業継続が難しくなる可能性が高まることを経営者の方にプレゼンして、予算を確保していただきたいですね。

熊谷氏

企業規模に関係なく、デジタル機器の導入は、サイバーセキュリティ対策の後にしてください。PCやサーバー、ソフトウェアの検討は、サイバーセキュリティ対策の予算を確保してからです。優先順位を間違えれば、必ず被害に遭うと考えて差し支えありません。

熊谷氏

専任のセキュリティ担当者がいない企業・組織であれば、SOCサービスを検討することも選択肢の一つだと考えます。当社の「D-SOC」は、24時間365日リアルタイムで提供している有人監視のセキュリティサービスです。組織内のインターネットにつながっているものすべて責任を持って監視しますので、思い切って丸投げしていただけたらと思います。大企業のお客様にフォーカスを当てたサービスですが、セキュリティを丸投げできる点は、中小企業のお客様のニーズにも合致しています。

熊谷氏

被害に遭った企業の多くは、ルールがあっても制御するシステムが導入されていませんでした。システム的に制御できていれば、被害は防げていたかもしれません。大手企業の本体はルールもシステムも整備されていますが、グループ会社になると整備されていない割合が上がります。大手企業が被害を受けた際に公表する報告書を見ると、海外の拠点やグループ会社、投資先を踏み台にして被害が発生しているケースが大半です。当社への依頼でも同様の結果が出ています。

熊谷氏

経営者の方にお伝えしたいのは、時代が変わったということです。ITを導入して情報をデジタル化するのが当たり前になっていますが、ITを取り入れるなら先にセキュリティ対策を整備してください。セキュリティの土台を整えた上でIT環境を整備しなければ、近年報道されているようなセキュリティインシデントが、いつ自社で起こってもおかしくありません。

情報システム部門の方には、プレゼン力の強化をお願いします。経営者の皆さんの多くがITやセキュリティについては専門外です。先にお伝えしたランサムウェアの被害で倒産してしまった事例など、技術ではなく経営に直結する話を使ってセキュリティ対策に予算をかける必要性を訴えていただけたらと思います。