2026年2月2日 / 最終更新日時 : 2026年1月29日 office_y5r18d5t コラム

コラム第910号:「能動的サイバー防御の時代、フォレンジックは「事後解析」から「証拠設計」へ」

第910号コラム:名和 利男 理事/技術分科会主査(日本サイバーディフェンス株式会社 シニアエグゼクティブアドバイザー)
題:能動的サイバー防御の時代、フォレンジックは「事後解析」から「証拠設計」へ

 2025年12月23日、政府は「サイバーセキュリティ戦略」を閣議決定し、防御・抑止を前に出し、官の関与や官民連携を強める方向性を明確にした。あわせて、いわゆるサイバー対処能力強化(能動的サイバー防御)に関する「重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針」も閣議決定され、制度の“運用”が現実のものになりつつある。(*1)(*2)(*3)

 この政策転換を、私は歓迎も懸念もしている。歓迎は、官民の「協働」を“精神論”ではなく“仕組み”に落とし込もうとしている点である。懸念は、現場の準備が追いつかないまま「連携」や「迅速性」だけが先行し、結果として混乱が増える未来が見える点である。

 そして、ここで強調したいのは次の一点である。能動的サイバー防御の時代、現場の勝敗を分けるのは“高度な対処”より先に、「何が起きたか」を説明可能な根拠として残せるかどうかだ。フォレンジックは、事後解析の技術である以前に、証拠を“出るようにする”ための設計技術になる。

1. 現場で最も多い敗因は「高度さ」ではなく「証拠の欠落」である

 少し生々しい話をする。私はインシデント対処支援やセカンドオピニオンの場で、技術的に難しい攻撃そのものよりも、もっと基本的なところで詰まる場面を何度も見てきた。たとえば次のような状況である。

  • ログが残っていない、保持期間が短くて“過去が消えている”
  • システムごとに時刻がずれていて、相関が崩壊する
  • 権限(特権)操作の記録が薄く、誰が何を変えたかが追えない
  • 保全手順が定義されておらず、隔離や復旧の過程で証拠が失われる

 この状態で「官民連携」や「共同対処」を語ると、何が起きるか。結局、組織は“断定できないのに断定したくなる”か、“断定できないから動けない”のどちらかに追い込まれる。前者は後で必ず破綻し、後者は被害拡大と復旧遅延を招く。どちらも、最終的には信頼の毀損として返ってくる。

 能動的サイバー防御が進むほど、この問題は増幅する。なぜなら、連携とは「情報を渡すこと」ではなく、「根拠と確度を添えて渡すこと」だからである。

2. 「証拠設計」とは何か。Evidence Readiness を“要件”として扱う

 ここでいう証拠設計とは、単にログを増やすことではない。私は次のように整理している。

  • 証拠設計とは、インシデントが起きた瞬間から“説明可能な証拠”が自然に生成され、保全され、必要な相手に適切な粒度で提示できる状態を、平時から作っておくことである。
  • その状態を作る能力を、Evidence Readiness(証拠能力)と呼ぶ。

 ポイントは「設計」という言葉にある。つまり、後から頑張って拾うのではなく、最初から“出るように”しておく。ここを誤ると、技術力が高い組織でも、説明と意思決定で沈む。

 そして、Evidence Readiness はセキュリティ部門だけの仕事ではない。ガバナンスである。経営、法務、広報、IT運用、委託先管理まで、関係者全員が同じ前提で動けるようにする“統制の中核”である。

3. 72時間で答えるべき問いから逆算する

 証拠設計の出発点はツール選定ではない。「最初の72時間で、何を答えなければならないか」を決めることである。多くの組織で共通するのは、概ね次の問いだ。

  • 侵入点はどこか(ID侵害、VPN、端末、委託先、クラウド設定など)
  • 侵害範囲はどこまでか(横展開、権限昇格、永続化)
  • 情報持ち出しの有無はどうか(可能性ではなく、根拠と確度は何か)
  • 事業影響は何か(停止、改ざん、二次被害)
  • いま何を止め、何を残すべきか(封じ込めと証拠保全の両立)

 この問いに答えるために必要な「必須証拠セット」を先に定義する。ここで“網羅性”を狙うと失敗する。「欠けた瞬間に詰むもの」から押さえるべきだ。

4. 最小の必須証拠セット。まずは4本柱でよい

 技術分科会主査として、まず現実的に推奨したいのは次の4本柱である。難しい話ではないが、軽視されやすい。

時刻の信頼性
 時刻同期(NTP/chrony等)の設定だけでなく、ずれの検知、証跡、運用記録まで含める。時刻が揃わないと、全てが推定になる。

IDと特権の証跡
 認証イベント、権限付与・剥奪、管理者操作、設定変更の記録を「一連の導線」として追えるようにする。攻撃がID中心に移るほど、ここが本丸になる。

境界とクラウド監査ログ
 DNS、Proxy、VPN、EDR、クラウド監査ログの“接続点”を押さえる。侵入点がどこであれ、最終的に調査はここに集約する。

保全手順と改ざん耐性
 ログの不変化(WORM、署名、ハッシュ等)、アクセス制御、保全時の手順(誰が、何を、どの順で、どこに隔離するか)を決める。事故対応で一番やってはいけないのは、善意の復旧作業で証拠を消すことである。

 私は、これらを整えた組織は、インシデント時の空気が変わると感じている。議論が「意見の強さ」から「根拠の強さ」へ移るからである。これは、実務の成熟度を一段押し上げる。

5. 提案。Evidence Pack(証拠パック)v0.1 を平時に作る

 最後に、すぐに取りかかれる“形”を提案しておく。私は各組織が、A4数枚でもよいので Evidence Pack v0.1 を作るべきだと思う。中身は次である。

  • 証拠目録(どのログを、どこから、どの形式で出せるか)
  • 時刻の信頼性メモ(同期方式、ずれ検知、扱い)
  • ID・特権の証跡導線(ID基盤、PAM、管理者操作ログの所在)
  • 境界・クラウド監査の最小セット(必須項目、保持期間)
  • 保全手順(初動の“触ってよい/触ってはいけない”を明文化)
  • 対外説明の確度表現(断定、推定、可能性を区別するルール)

 「連携」とは、相手に合わせることではない。自分たちが“根拠を持って語れる状態”を作り、その上で適切な粒度で共有することである。能動的サイバー防御の時代、ここを避けて通ることはできない。

おわりに

 政策の転換は、組織に新しい義務や手続きを持ち込む。しかし、本質はそこではない。これから問われるのは、組織が「説明可能な事実」を自らの手で作り、守り、必要な相手に渡せるかどうかである。

 フォレンジックを「事後解析の専門領域」として置いておく時代は終わりつつある。これからは「証拠設計」という統制能力として、ガバナンスの中核に据えるべきだ。私は、技術分科会としても、この“証拠能力”を各組織が現実に実装できるよう、具体的な論点整理と知見共有を進めていきたい。

(*1) 令和7年12月23日(火)定例閣議案件(サイバーセキュリティ戦略等)
https://www.kantei.go.jp/jp/kakugi/2025/kakugi-2025122301.html

(*2) サイバーセキュリティ戦略の概要(令和7年12月23日)
https://www.cyber.go.jp/pdf/policy/kihon-s/cs_strategy2025_abstract.pdf

(*3) 重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針(令和7年12月23日)
https://www.cao.go.jp/cybersecurity/pdf/kihonhoushin.pdf

【著作権は、名和氏に属します】

カテゴリー
コラム第22期
「法務・監査」分科会

前の記事

「法務・監査」分科会(第22期第4回)
2026年1月28日