日本ではまずインシデント・レスポンスから

杉浦氏の指摘によると、まだまだ日本企業では情報セキュリティ対策として技術的対策に依存する傾向が非常に強い。インシデントに対する組織的対応、いわゆるインシデント・レスポンスについて、特に対応の拙い企業が非常に目立つ。これはインシデントが発生して初めて露呈するものであり、潜在的には体制の整っていない企業は多いと言えるだろう。

インシデントに対しては、技術的対応だけでは解決できないものがある。例えば、対外的なマスコミ対策等については広報部門の積極的関与が必要であり、経営的観点から判断すべき事項も多く発生する。監督官庁の関与するものもあり、情報システム部門だけでの対応には限界があるのだが、その認識がまだ国内では薄い。

2年ほど前、日本ネットワークセキュリティ協会(JNSA)主催のセキュリティセミナーで伊原氏が講演を行った際、演者同士で「フォレンジックが日本に根付くのは3年後くらいだろうね」という話題で盛り上がったことがあったそうだ。インシデント・レスポンスやフォレンジックについての現状を見ると、その時の予想はほぼ的中している、あるいは少々遅れ気味と言えそうだ。

ネットエージェントに揃った車の両輪

日本ではこれから本格的な普及が見込まれるフォレンジック・サービス。前回述べたとおり、伊原氏がネットエージェントに加わったことで、情報システム全体への総合的なフォレンジック・サービスが提供できる体制が整った。なぜなら、杉浦氏はネットエージェントの代表取締役であると同時に、コンピュータ・ネットワークのフォレンジック分野における、国内屈指の専門家であるからだ。

ネットエージェントの主力製品の1つにPacket Black Holeという製品がある。これは、ネットワーク上を流れるパケットを全て記録し、攻撃の兆候の検出や、万が一の場合の証拠に用いると言うものである。この製品は、記録を後日解析することで犯罪を立証することが可能なため、コンピュータ・ネットワーク・フォレンジックを具現化した製品と言える。この開発者が本分野の専門家である杉浦氏本人なのだ。

ただし、杉浦氏の得意分野は、ネットワーク上で起こるインシデントの記録と、それへの対応であり、コンピュータ内部で発生するインシデントへの適切な対応は、専門外であった。そこを補完するのが、伊原氏ということになる。ネットワークとコンピュータ本体、両方のフォレンジックを取り扱う体制が整った、これが今回の伊原氏取締役就任の真の意味である。

ネットエージェントで展開するフォレンジック・サービスの内容

現在、ネットエージェントの事業を支えているのは、ネットワーク監視ツールのPacket Black Hole、Winnyや2ちゃんねるなどの通信をシャットアウトできる独自のファイアウォールOne Point Wallの販売とインテグレーション、そしてセキュリティ監査の３つである。セキュリティ監査の主体は暗号の解読などの業務であり、他社でお手上げであった場合に頼られることが多いというが、そこには、高い技術力を広く認められている事実が伺える。

ここに4番目の事業としてフォレンジック・サービスを追加していくわけだ。しかし、上記3事業との相乗効果は短期的には期待していないとのこと。フォレンジック・サービスは、それ単体でもしっかり成り立つ事業として育てていきたいという意気込みの現れであろう。サービスの全体像は、大きく5つのフェーズに分かれているので、順を追って説明していきたい。

最初のフェーズは、コンピュータ犯罪に強いネットワークの構築のコンサルティングである。直接フォレンジックとは関係が無いように見えるが、この段階でのネットワーク構築方法の良し悪しで、インシデント発生時の対応の成否が決せられる。フォレンジックの前段階サービスとの位置づけだ。ネットエージェントのOne Point WallやPacket Black Holeの導入による、よりインシデントに強いネットワーク構築が具体的なサービス内容となる。次のフェーズは、ネットワーク監視サポートサービスである。攻撃の兆候が見られた場合その調査を行い、必要に応じて対策を講じるサービス内容だ。

フォレンジック・サービスの中核は保全・調査・報告

3番目のフェーズが保全である。これは、不幸にもインシデントが発生してしまった場合に現場に急行し、事後解析用の証拠として被害システムのハードディスク等の内容を1ビットたがわず同じ状態で保存する作業を指す。作業は、専用のマシン、あるいは専用のソフトウェアを使って行われる。ちなみに、このとき管理者が被害システムを操作しすぎていると、証拠を消してしまうことになりかねないので、管理者の方々は注意してほしい。

4番目のフェーズが、保全したデータを元にした解析作業である。被害や犯行の状況、犯罪者の追跡などを行うことができる。ただし、実際にはまず、そういった作業が必要かどうかを判断することが必要だ。なぜなら、ここが最も人件費と時間を消費するフェーズであり、本当に必要な場合で無いなら、対策にお金を書けたほうがよいからだ。また、保全時の状況から、種々の証拠が残っているか判断できることも多いそうだ。

最後のフェーズが報告とそれに基づく再発防止対策である。解析作業を行っている場合は、解析報告書がネットエージェントから発行される。そして、再発防止の提案と、必要であればその対策を施すサービスとなる。

ネットエージェントのサービスの強みとは

フォレンジック・サービス業者として他の業者に無い強みを2点挙げることができるだろう。1つはPacket Black Holeの存在である。これを導入しておけば、インシデントの兆候の段階で、何らかの不振な挙動を見つけた場合、適切な対応をとっていくことができる。今まで、ネットワークにおける外部からの攻撃に対しては受身の姿勢が一般的であったが、逆に能動的にインシデントを抑止する方向で対策が取れるようになる。

もう1つは、杉浦氏が屈指のセキュリティ専門家であると同時に、企業の経営者であると言う点だ。3番目の保全の作業時、ネットワークを止めるかどうか、広報活動はどのように行うのか、そういった判断を経営者は迫られることになる。他業者は、技術者あるいは経営者、どちらかの視点からしか助言を行うことができない。ネットエージェントの場合は、技術者かつ経営者の杉浦氏が、経営者相手に両者の視点を勘案してベストな判断を提案できる。これは、サービスを受ける企業にとっても大きなメリットであろう。

今後、ネットエージェントとしてはフォレンジックの啓蒙セミナーなどを積極的に行って、まずは認知度を上げて行きたいとのことだ。8月9日にフォレンジックに関するセミナーが予定されているので、興味のある読者は参加してみてはいかがだろうか。