平成31年春期 午前問題39
ディジタルフォレンジックスの手順を収集,検査,分析,報告に分けたとき,そのいずれかに該当するものはどれか。
1、ディジタルフォレンジックスは、
不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠に必要となる電子的記録を収集・解析することをいいます。
**フォレンジックス(forensics)**には、「科学捜査」や「法医学の ~」という意味があるため、直訳すれば「電子科学捜査」となります。フォレンジックスのプロセスは、収集→検査→分析→報告の基本的なフェーズで構成されます。
2、ディジタルフォレンジックス手順:
①データの収集:データの完全性を保護する手続に従いながら、関連するデータを識別し、ラベルづけし、記録し、ハードディスクなどの媒体から取得する。
②検査:データの完全性を保護しながら収集したデータを自動的手法及び手動的手法の組合せを使ってデジタル・フォレンジックとして処理することにより、特に注目するデータを見定めて抽出する。この段階で必要があれば収集したデータから暗号化されたデータを復号したり消去されたデータを復元したりする。検査の代わりに復元という言葉を使う場合もある。
③分析:法的に正当とみられる手法および技法を使用して検査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情報を導き出す。
④報告:分析結果をまとめ依頼者に報告する。この結果は、将来裁判などで用いられる可能性がある。
3、
IPAが公表している「インシデント対応へのフォレンジック技法の統合に関するガイド」によれば、フォレンジックプロセスは、収集・検査・分析・報告の4つのフェーズから成ります。
・収集
データの潜在的なソースを識別し、それらのソースからデータを取得する
・検査
収集したデータから関連する情報を評価して抽出する
・分析
複数のソースのデータを相互に関連付けるなどして、結論を導き出すためにデータの調査と分析を行う
・報告
分析フェーズによって得られた情報を準備して提示する
・SIEM
SIEM(シームと読む)は「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせた言葉(ガートナーによる)だ。
SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことをいい、さまざまなネットワーク機器やホストシステムが出力するセキュリティイベントログおよびシステムユーザーの利用ログなどを蓄積し、さまざまな視点から検索、分析を行う。
SEMは、同様にさまざまな機器からのログを収集、蓄積することは同じだが、分析をリアルタイムに行う点が異なる。
・メールの暗号化あるいは添付ファイルの暗号化
電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。
メール本文および添付ファイルを暗号化するには、暗号化のための専用ソフト
(PGP*3など)や環境(暗号鍵)が必要となります。お手軽な方法として、添付ファイ
ルのみをファイル暗号化ソフトやドキュメント作成ソフトに付属した暗号化機能、あ
るいは圧縮・解凍ソフトの暗号化機能によって暗号化する(パスワード保護する)こ
とも効果的です。
*3) PGP(Pretty Good Privacy)とは、アメリカの Philip R. Zimmermann を中心とした開発チームによって作られた暗号化ソフトで、世界的に標準化されているものです。
参照:
https://www.itpassportsiken.com/kakomon/30_haru/q97.html
デジタル・フォレンジックスの手順
https://legalex.co.jp/2020/04/18/11-df-process/
SIEM
https://www.keyman.or.jp/kn/articles/1504/13/news158.html
メールの暗号化あるいは添付ファイルの暗号化
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf