第792号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「クラウド環境におけるデジタルフォレンジックとは?」
今回のコラムでは、クラウド環境におけるデジタルフォレンジック(以下、クラウドフォレンジック)について触れてみたい。
クラウドフォレンジックは、今までのデジタルフォレンジックと比較して、事件が起こる前からの準備が重要になってくる。今までのデジタルフォレンジックは、不正や攻撃が行われた事後に、手元にあるHDD等の記憶媒体を解析して、いわば可能な範囲の情報をかき集めて、影響範囲を特定し、何が行われたか解明してきた。
デジタルフォレンジックを取り巻く環境は、HDDからSSD、スマホやIoTに移り変わり、フォレンジック技術も進化してきた。ではクラウド環境で行うデジタルフォレンジックも、今までの取り組みの延長線上で対応できるのかと聞かれれば、答えは「ノー」である。
クラウド環境ではIaaSやSaaSの利用開始時に、デジタルフォレンジックを行う際に必要となるログやデータをあらかじめ指定して、保存しておく必要がある。
クラウド事業者が気を利かしてデータを保存してくれることは絶対にないので、手元にあるHDDと同じような感覚でクラウド環境のフォレンジックができるなどと思わないほうが良い。
そんな事すら知らなかったのかと、専門筋からはお叱りを受けそうだが、実は意外と知られていないのが、クラウド環境におけるデジタルフォレンジックの進め方なのである。
企業や役所のIT環境がオンプレミスからクラウドにどんどん移行しており、ご案内のように不正や攻撃もクラウドを舞台に行われるようになった。しかしクラウド環境では、事故現場にあるHDD等の記憶媒体からイメージをコピーして、フォレンジック作業に取り掛かるような取り組みが、毎回できるとは限らない。
Azure・AWS等のメジャーなクラウドサービスは、豊富な種類のログ保存が行われている。利用者はクラウド事業者と契約し設定すれば、そのログを手に入れて自由に活用することができる。しかしログ保存の契約や設定をしない場合は、デフォルトでユーザログイン等のログが保存されている期間は90日だったりする。つまり不正や攻撃が発覚した場合も、その行為自体が90日以前に行われていた場合は、なんら調べることができない。
それは大変だと思われた方や、この分野に関心のある方向けに、クラウド環境特有の課題を明らかにして、関係者で共有する講演会を11月22日に開催することにしている。IDF人材育成分科会主催のイベントである。IDF会員向けには個別に案内状をお届けするので、関心を持った方は講演会を覗いていただきたい。
紹介が後先になったが、私は2022年からデジタルフォレンジック研究会の人材育成分科会が主催する講演会(DF会員限定)の実行委員長を仰せつかっている。昨年は約100名にご参加いただいた。今年2023年は11月22日(水)16時に開催する運びとなっており、2部構成で前半が若手研究者による発表会、後半が「クラウドフォレンジック入門」と題してパネルディスカッションを行う予定である。
IDFからの案内メールを見逃さないようにしていただきたい。
【著作権は、小山氏に属します】