デジタルフォレンジックとインシデント対応（DFIR）とは？

サイバーセキュリティにおけるDFIRの役割

より大きなサイバーセキュリティ慣行の枠組みの中で、DFIRは、侵害がどう発生したか、さらにその特定のインシデントの修復に必要な具体的手順を詳細に把握する上で役立ちます。総合的なDFIRで行われる作業をそれぞれ詳しく見ていきましょう。

インシデントの検出＆レスポンス

侵害の影響を受けたユーザーの検出は、何が発生したかを可視化し、攻撃者をネットワークから排除して侵害を封じ込め、修正し、残りの悪用可能な脆弱性を修復するために迅速な対応を行うための第一歩です。ここから、念入りな調査を行うことで、進化する攻撃者行動を特定し、将来的にこうした行動をより正確に特定できるようになります。

フォレンジック調査

侵害はそれぞれに異なるため、ある侵害に対する調査が以前の侵害の調査と同じとなることは決してありません。脅威が差し迫っている場合でも、すでに発生している場合でも、脅威に対して状況に応じたアプローチを取り入れることが不可欠です。調査を開始する際、セキュリティチームは影響を受けるアセットのデータ分析を実行し、ブラウザ履歴に残されたアーティファクト、イベントログ、ディレクトリからのファイル、レジストリハイブの情報を取得します。

脅威インテリジェンスと分析

脅威インテリジェンス収集の上で最も重要なステップは、データがセキュリティ組織のあらゆる機能に合わせて調整されていることを確認することです。インテリジェンスサイクルをひとたび実践に移すと、情報を収集、分析し、組織内の関連するステークホルダーに配布することで成果が生まれます。このプロセスでは、データを迅速に検索して関連する情報を明らかにできる自動分析を主に活用することが前提となります。

マルウェア解析とリバースエンジニアリング

ネットワーク上でマルウェアの疑いがあるものを分析する場合、セキュリティチームはそのサンプルを提出して一連のアナライザーを実行し、リスクスコアに基づいて脅威を分類します。この作業は、状況に優先順位を付けるために役立ち、すぐに対応する必要がある状況か否かを決める判断材料となります。この分析期間で、マルウェアのリバースエンジニアリングを駆使し、元凶である脅威を把握して迅速に根絶するために一番良い方法を見つける上で役立ちます。

インシデントの封じ込めと復旧

侵害の範囲が完全に特定され、影響を受けたアセット、アプリケーション、ユーザーが封じ込められると、セキュリティ オペレーション センター (SOC) が、通常の業務運営プロセスを復元するための所定の計画を開始します。チームがバックアップシステムのさまざまなコンポーネントを理解できるように、文書は災害計画の鍵となります。自動化されたオフラインバックアップを維持すると、マルウェア攻撃からの回復プロセスにさらに役立ちます。

インシデント対応におけるデジタルフォレンジックの活用方法

デジタルフォレンジックは、プロセスに組み込まれてインシデント対応に使用されます。セキュリティ担当者であればご存じかと思いますが、インシデントに対応して問題を解決するだけでは不十分で、何がどのように起こったのかを正確に把握し、その攻撃経路に合わせてシステムを調整し、次にそのような行動が発見されたときにカスタマイズされたアラートを発することができるようにしなければなりません。

「デジタルフォレンジックとは何か？」と尋ねられたら、（先述の）マルチシステムのフォレンジック中心に説明するのが適切でしょう。つまり、ネットワーク全体で重要なシステムとアセットタイプを監視し、疑わしい行動の兆候がないかクエリを実行できる機能です。このプロセスは、分解すると以下のようになります。

• 収集：エンドポイント全体で対象を絞ってデジタルフォレンジック証拠の収集を行います。
• 監視：ログ、ファイル変更、プロセス実行などのエンドポイントイベントを継続的に監視します。
• ハンティング：信頼できるフォレンジックアーティファクトのライブラリを検索してアクセスし、ネットワーク上のマルウェアに関する疑わしいアクティビティを検索し、特定の脅威ハンティングのニーズに合わせてカスタマイズします。

デジタルフォレンジックを行うことにより、脅威対応担当者や検出担当者は、あらゆる数のエンドポイントとネットワーク全体のほぼすべてに関わる情報を収集、クエリ、監視できるようになります。この手法は、エンドポイント上での継続的な監視ルールの作成やサーバータスクの自動化などにも用いることができます。以下は、その具体的な使用例です。

• クライアントの監視と警告（検知）：DFIRツールは検知に重点を置いたイベントクエリを収集できるため、担当者は自律的にエンドポイントを監視し、特定の条件が満たされた場合に優先順位の高い警告を送り返すことができます。
• 兆候（脅威インテリジェンス）のプロアクティブなハンティング：多数のシステムから大規模にアーティファクトを収集し、ハッシュなどの脅威インテリジェンス情報と組み合わせることで、既知の悪意ある行為者による侵害を事前対応的に探索します。
• 別のシステムへの継続的なイベントの転送：監視クエリを使用してイベントを簡単に転送できます。
• 別のシステムでの分析向けバルクファイルの収集（デジタルフォレンジック）：DFIRツールは、のちに他のツールで分析できるよう、エンドポイントからバルクファイルを収集します。
• エンドポイント上の兆候の解析（デジタルフォレンジック）：アーティファクトを使用してエンドポイント上のファイルを直接解析し、時間のかかる後処理を行わずに実用的で価値の高い情報を迅速に返します。
• 多数のシステムにわたるプロアクティブな兆候のハンティング（インシデント対応）：DFIRツールは多くのエンドポイントからのアーティファクトを同時に検出できます。

DFIRがサイバーセキュリティプログラムの重要なツールである理由

攻撃者がネットワークの侵害に悪用しようとしたり、すでに使用した手法と経路をより正確かつ詳細に明らかにする上で役立つDFIRは、サイバーセキュリティプログラムに欠かせないツールです。

攻撃の対応にとどまらず、今後、同一または類似の動作を認識するための予防措置を調整できることが、企業とそのセキュリティプログラムにとって最大の利益となります。

DFIRのメリットとは？

侵害調査の目標は、セキュリティチームが起こったことを理解し、より強力なプログラムを作成できるようにするための可視化であることを考えれば、DFIRのメリットは多大です。

• 復旧の迅速化：過去のインシデントやライブラリのアーティファクトに基づいてより関連性の高い警告が表示されるため、DFIR担当者がインシデントへの対応と復旧をより迅速に行えるようになります。
• セキュリティ態勢の強化：脅威への対応と調査をより正確に行えるようになれば、組織全体の健全性とセキュリティ態勢が改善し始めます。外部のDFIRサービスプログラムは、さらに詳細な調査を実施し、社内の実務担当者が他の目標や優先事項に集中できるようにすることで、さらに付加価値を高めます。
• データ共有機能：最新のDFIRソリューションには、脅威やインシデントに対応して実行されたすべてのアクションの正確なレポートが含まれており、こうしたレポートや重要な洞察は、要望に応じてあらゆるステークホルダーと簡単に共有できます。
• 推測の余地を残さない：攻撃者の侵入方法や経路、素性や動機などが徹底したDFIR機能により明らかになり、発生した事象、今後発生すると考えられる事象を推測を交えずに的確に理解できます。

DFIRについてさらに読む

DFIR： 最新のRapid7ブログ記事

VeloCON：Rapid7のDFIRコミュニティイベント