フォレンジックの基本機能とは?
例えば、ネットワークフォレンジックの場合、次のような機能をサポートしている。
●パケットキャプチャ機能
ネットワーク上に流れるすべてのパケットを取得する機能。メールの送受信やWebページの閲覧履歴など、実際に送受信されたままの状態を再現することができる。すべてのパケットを取得するため、取得するデータ量に応じたストレージ領域を確保した製品を選ぶ必要がある。
●解析機能
取得したパケットを解析する機能。HTTPやSMTP 、FTPなど特定のプロトコルに関しては、実際の動きを再現することができる。また、VoIPやSQL、TCP通信トレースなど、解析分野は多岐に渡る。容疑者の絞込みや不正操作を発見するため、全文検索だけでなく、日付や時間、IPアドレス/MACアドレス、ファイルサイズなどでの絞込みが可能。わずか数クリックで特定の条件の通信ログを表示させることができる。
●レポート作成機能
解析した結果をレポート出力する機能。作成者の情報を加味した上で、再現された内容やログ情報などをあわせて出力することができる。また、内容に応じて利用率の高いパケットのランキングを表示したり、CSV形式でデータを出力することで、別のツールで分析したり活用したりすることも可能。
●証拠保全機能
ネットワーク・フォレンジックの場合、証拠保全にはテープメディアを使う。通常、パケットを溜め込むアプライアンス製品にテープメディアが接続できるようになっており、テープをローテーションさせながら証拠を保存していく。製品の考え方によって、数分ごとにバックアップを取るものと、RAID構成のディスクを使い、数日ごとにテープに移し変えるものがある。
フォレンジックの導入メリットとは?
フォレンジックの導入メリットとしては、まず2005年4月に全面施行された個人情報保護法に絡んだ個人情報漏洩対策を挙げることができる。個人情報が漏洩した場合、その流出経路を特定するために役立つだけでなく、情報開示を早めることで社会的信用の失墜を最小限に抑えることができる。また、企業に対するコンプライアンスや財務の信頼性向上の要求を高める日本版SOX法、また内部統制システム構築の義務化を明言している新会社法(2006年5月施行)も無関係ではない。フォレンジックは、企業内で構築された内部統制システムをすり抜ける不正に対して、調査を行うためのツールであることから、従業員に事前にツールを設置する旨を伝えることで、抑止効果を発揮しやすい。