サイバー攻撃後の「証拠保全」が勝敗を分ける、デジタルフォレンジックの重要性

背景

サイバー攻撃を受けた企業が直面する課題は、システムの復旧だけではありません。「誰が、いつ、どのように侵入したのか」「何が盗まれたのか」「法的責任は誰にあるのか」を明らかにするためには、デジタル証拠の適切な保全と分析が不可欠です。しかし、多くの企業では攻撃発覚後に慌ててシステムを再起動したり、ログを削除したり、感染端末を初期化したりすることで、重要な証拠を消失させてしまっています。これにより、攻撃者の特定ができない、被害範囲が確定できない、保険請求に必要な証拠が不足する、訴訟で不利になる、といった二次的な問題が発生します。デジタルフォレンジック（Digital Forensics：デジタル鑑識）の知識と体制を事前に整備しておくことが、インシデント対応の成否を左右します。

実態

デジタルフォレンジックとは、コンピュータやネットワーク上のデジタル証拠を、法的に有効な形で収集・保全・解析する技術と手続きです。重要なのは「証拠能力」を維持することであり、証拠の改変や汚染（Contamination）があると、法廷で証拠として認められない可能性があります。適切なフォレンジック手順では、まず現場保全（システムを触らない）、次に揮発性データ（メモリ、ネットワーク接続状態）の取得、ディスクイメージの取得（書き込み防止装置を使用）、ハッシュ値による完全性の証明、という段階を踏みます。しかし、実際のインシデント現場では、「早く復旧しなければ」という焦りから、感染端末の電源を切る（メモリ内の証拠が消失）、ログファイルを上書きする、ネットワークを遮断する前に攻撃者の通信ログが失われる、といった証拠破壊行為が無意識に行われてしまいます。また、フォレンジック調査には専門的なツール（EnCase、FTK、Volatilityなど）と知識が必要であり、社内だけで対応することは困難です。

影響と対策

証拠保全の失敗は、攻撃者の逃亡を許し、再発防止策の策定を困難にし、法的・経済的な損失を拡大させます。対策としては、まずインシデント対応計画（IRP：Incident Response Plan）の中に、フォレンジック手順を明記することが重要です。具体的には、「誰が証拠保全の責任者か」「どの順序で何を保全するか」「外部の専門家（フォレンジックベンダー）への連絡先」を事前に決定しておきます。技術的には、FortiGateやCheck Pointなどのネットワーク機器のログを外部のSIEMやログサーバーにリアルタイムで転送し、攻撃者がログを改ざんできない場所に保管します。また、重要サーバーのメモリダンプを定期的に取得する仕組みや、EDRソリューションによるエンドポイントの挙動記録も、事後調査で極めて有用です。インシデント発生時には、「復旧」と「証拠保全」のバランスを取る必要があり、可能であれば感染システムのクローンを作成し、クローン上で復旧作業を行いながら、オリジナルは証拠として保全する方法が理想的です。さらに、定期的なインシデント対応訓練の中で、フォレンジック手順の実践練習を行うことも推奨されます。

まとめ

「攻撃を受けた後」の対応品質が、企業の将来を左右します。証拠がなければ真相は闇の中であり、同じ攻撃を繰り返されるリスクも残ります。デジタルフォレンジックは「起きてから考える」ものではなく、「起きる前に準備する」ものです。PSIでは、インシデント対応計画の策定支援、フォレンジック対応体制の構築、そして実際のインシデント発生時の証拠保全・解析支援まで、包括的なフォレンジックサービスをご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp