調査方針
インシデントレスポンス理論がベース
弊社のコンピュータ調査サービスは、サイバー攻撃と情報セキュリティ分野の権威である米国の技術者達が唱えるインシデントレスポンス理論をベースにして、コスト、手順、設備や機材の調整とカスタマイズ、および独自システムの組み込みにより、「個人」および「小規模事業者」が利用できる価格帯での提供を実現しております。
法的措置を主目的とする調査計画
情報セキュリティのインシデントレスポンス(事故対応)の調査では、通常の場合、下記例のような複数の目的を全て達成するために実施されます。
・障害を復旧させること
・全容を明らかにすること
・法的措置のための証拠を掴むこと
・セキュリティの脆弱箇所を見つけること
・運営方針、管理体制などの問題点を見つけること
しかしこれら全てを完璧に実施すると、非常に高額な費用(1千万円を超える事もざらにある)が必要となるため、個人や小規模事業者が手を出せるものではありません。
そこで弊社はコストを抑えるために、事案の最も根本的なところである「攻撃者」を法的に排除することを問題解決の近道と考え、「法的措置のための証拠収集」を第一の目的とした調査計画を提案しております。
無駄を排除する、4段階のフェーズ
コンピュータの話では分かりにくいので、物理的な侵入窃盗である「泥棒・空き巣」をモデルにして説明します。
ある日にAさんが自宅に帰ったら、室内がいつもと違う感じがしました。
いつもきちんと閉じているはずの棚の扉が開き、家具の配置も少しずれています。
家の中を見回ったところ、窓の鍵が壊されている事に気付きました。
この状況からAさんは、「泥棒が空き巣に入ったに違いない」と考えました。
そこでAさんは警察に電話をして、調べてもらうことにしました。
警察は捜査に際して、「徹底的に調べる」という方法をとるでしょうか?
例えば指紋の採取。壁、床、天井などの全面や、家の中にある全ての家財や日用品など、ありとあらゆる箇所に対して完璧に指紋の採取を行うでしょうか?
また、自宅から半径数キロメートルの住人(数千人)に対して聞き取り調査を行ったり、隙間なく検問所を設置して通行人の確認を行ったりするでしょうか?
答えは 否 です。
そんなことをしていたら、手間もコストも大変なことになってしまいますし、そのほとんどは無駄になってしまいます。
情報セキュリティの事案もこれと同じです。
対象を絞り込まず手当たり次第にディープ・フォレンジックを実施するのは、数百万円以上ものお金を無駄にしてしまうことになります。
そこで弊社では、下記の手順で合理化した解決方法をとり、無駄なコストの発生を極力排除しております。
【フェーズ1】ライブレスポンス
不正検知のためのデータ収集や解析など
【フェーズ2】証拠収集
法的措置のためのデータ収集・保全など
【フェーズ3】法的措置の準備
刑事告訴や民事請求など、弁護士と打ち合わせ。
【フェーズ4】ディープ・フォレンジック
※必要な場合にのみ実施を提案
ちなみに・・・
個人や小規模事業者が法的措置を取る段階においては、フェーズ4のデジタル・フォレンジックは不要のケースも多いため、「必要となった場合にのみ実施する」という方針をおすすめしております。
その理由は、デジタル・フォレンジックは高額な費用が必要であり、個人等にとっては経済的な負担が大きいからです。
ですので例えば、弁護士が必要と判断した場合や、裁判所から求められた場合など、実施するかどうかは弁護士に判断を委ねるのが良いでしょう。
また、警察が介入した場合には、警察側で実施されることも考えられますので、警察の判断を待つのが良いでしょう。
※ただし予算をご用意できるのであれば、フェーズ2の証拠収集の段階で同時にフォレンジックも実施したほうが確実ではあります。
副次的なメリット
手当たり次第の調査ではなく、段階を追った合理的な調査方法には、次のようなメリットもあります。
【メリット1】依頼者のプライバシーや機密を極力守れる
異常の検知と問題箇所の絞り込みに基づいて調査が進められるため、調べる必要のないデータを闇雲に見回ったりしないので、依頼者のプライバシーや機密情報が調査員の目に触れることが最低限で済みます。
この点が好評で、医師、研究職、士業などといった機密情報を扱う方からのご依頼も多くあります。
【メリット2】メタデータ等の変更や消失を極力防げる
技術的な説明は省きますが、調査員が不要にデータに接触してしまうと、データに関連する付随データが変更されてしまう恐れがあるのですが、弊社のように「不要なものには触れない」という方針の調査であれば、その危険性を極力抑えることができます。
【メリット3】調査に関係する者の人数を減らせる
調査が合理化されていますので、人海戦術的な要素がありません。
「調査することを周囲に知られたくない」という場合、例えば企業の場合ですと、「調査をする ≒ トラブルがある」という見方から、イメージ低下や風評被害に繋がってしまう恐れもありますので、調査に関係する者はできるだけ限定するほうが望ましいです。