トピック
データトラブルを「日本一見ている」会社が語る、日本企業のセキュリティ問題とその解決策
原因を突き止め、被害拡大を防ぐためのフォレンジックとは
- 提供:
- デジタルデータソリューション株式会社
2021年2月26日 08:35
もし、サイバー犯罪者による標的型攻撃やマルウェアの感染によって、会社のデータが流出・改ざんされたり、システム停止などの被害に遭った場合はどうすればいいのか。
取引先へ被害が及んだり、自社の社会的信用を失墜させないためには、感染源などを特定して被害拡大を防ぐ必要があるが、その中の1つの手段として「フォレンジック」が有効だ。
フォレンジックとは、「多くの機器やデータの中から、証拠となる電子データを発見する」という調査のことを指す。そして、例えば、退職者によるデータの不正持ち出しを調査し、法的証拠に関わる情報を掴んだり、Emotetなどのマルウェア感染時の拡大防止といったセキュリティ分野においても活躍するという。
こうしたセキュリティにかかわるフォレンジックのサービスを新たに展開するようになったのは、「世界中のデータトラブルを解決する」を企業理念に掲げるデジタルデータソリューション株式会社だ。同社はこれまでデータ復旧を中心に事業を行ってきたが、2017年に株式会社ラックと資本・業務提携を行い、フォレンジクス事業とセキュリティ事業にも進出した。
新事業進出の経緯や、企業のセキュリティ対策の現状と問題について、同社取締役COOの上谷氏に話をおうかがいした。
データトラブルを「日本一見ている」企業がフォレンジックとセキュリティの問題に取り組む
――まずデジタルデータソリューションの簡単な紹介をお願いします
[上谷氏]一言で当社を説明すると「(日本国内で起きた)情報遺失・漏えいなどの事故を日本一見ているという会社」だと思います。
もちろん、ただ「見る」のではなく、しっかり「診て」いますから、その蓄積は非常に大きいものと自負しております。
当社は日本でも唯一とも言えるデータトラブルの問題解決を専門に行う企業です。元々データ復旧事業からスタートしており、データ復旧の技術や調査解析の技術が警察の犯罪捜査に採用されております。
従業員は150人程度とまだまだ小さいものの、警視庁長官を務める安藤隆春が社外取締役に就いている、ちょっと変わった会社です。
元々データ復旧業務を行っていましたが、近年は事業領域を広げており、その関係で保険会社と一緒にサイバーインシデントの事故調査も行っています。また、損害保険鑑定サービスを手掛ける株式会社内山鑑定事務所と一緒に保険会社のレポート鑑定業務を引き受けています。
また、企業・個人でのサイバー攻撃に対するサイバーフォレンジック業務のほか、最近ではデジタル遺品調査も行っております。このように従来のデータ復旧に加え、最近はフォレンジックとセキュリティの三本柱で事業を行っています。
――デジタルデータソリューションというとデータ復旧というイメージがありますが、新事業を行ったきっかけを教えてください
[上谷氏]当社にはデータ復旧を通じていろいろな相談が来ます。例えば、「退職者から不当解雇だと訴えられたため、原因となった職務怠慢の証拠を調べてほしい」とか、フォレンジックのように調査レポートを出してほしいなどさまざまです。
サイバー攻撃を受けてデータを消された、となると業務を再開するためにはデータ復旧が必要になります。データ復旧が我々のアクションですが、顧客の真の希望は「感染マシンの特定と復旧」というフォレンジック調査なわけです。「(顧客の真の目的は分からないが)データ復旧して渡します」では顧客満足につながりません。
「データ復旧」「フォレンジック」「セキュリティ」の3つは、かなり密接しています。これらの事業を手掛ければ、世の中のデータトラブルは大体解決できるんじゃないかと自然な流れで広がっていったわけです。
しかし、フォレンジックやセキュリティに関しては外部の知見が必要でした。そこで、フォレンジックやサイバーセキュリティならば、大手セキュリティ企業である株式会社ラックが業界でトップということで、2017年に同社に対して資本・業務提携を申し込んだというのが新規事業を開始した経緯になります。
「電子証拠に救われる人はたくさんいる」――原因を突き止め問題解決に導く調査
――御社で言う「フォレンジック」とは何を行うものでしょうか?
[上谷氏]「フォレンジック」という言葉は幅広く、会社や人によって定義が異なるのですが、当社では「膨大なデータの中から、証拠となる電子データを発見する」ことが基礎と考え、その調査内容の性質により、「サイバーセキュリティ」「リーガルテック」領域の2つに分類しています。
――なるほど。では、「リーガルテック」領域のフォレンジックとはどういったものを指すのでしょうか?
[上谷氏]「リーガルテック」領域のフォレンジックは、一言でいえば「電子的な法的証拠の発見」です。「横領」や「退職者による情報持ち出し」など、電子証拠で事実が解明される事件は世の中にたくさん存在していて、その手助けになるのが、電子機器から証拠データを見つけ出す、フォレンジック調査です。
電子証拠は言った言わないではなく、うそをつきません。世の中の公平や公正を維持しようとするとフォレンジックは大変有効な手段だと思います。アメリカでは電子証拠を使った多くの判決が出ているのに対して、日本は遅れてるイメージが強いです。
関連してサイバー保険を取り扱う保険会社と協業してインシデント発生時の初動フォレンジック調査を行ったり、保険金請求のレポートの内容や金額が妥当なのかどうなのか鑑定する業務を内山鑑定事務所と行っております。
――では、「サイバーセキュリティ」領域のフォレンジックとは何を指すのでしょうか。
[上谷氏]「サイバーセキュリティ」領域のフォレンジックは実際にサイバー被害を受けたかどうかの確認が主です。こちらは保全を意図しているものではなく、実務を早期に回復させ、問題を最小限にとどめるために、感染マシンの特定や状況把握、そして対応策の提示を行います。
「保全」を優先事項にしていないのは、コストを考えているためで、保全にこだわりすぎると、必要以上に調査費用が高くなってしまいます。ご希望があればもちろん「保全」にも対応しております。保全については、ある程度発生日が分かっているのであれば、前後1週間から1カ月程度の調査で良いと思います。
感染が急拡大するマルウェア「Emotet」その拡大を止め、業務復帰のために「フォレンジック」を使う
――マルウェア感染や標的型攻撃など、セキュリティ関連ではどのような被害があり、御社はどのように関わるのでしょうか? 実例を挙げてご説明いただけますでしょうか
[上谷氏]例えば、マルウェア「Emotet」に感染した場合は、業務復帰のための復旧が必要なので、原因を特定して該当の端末を取り除くかネットワークから隔離しないといけないわけです。
目安として、対象となる社内PCが10台以上になってくると、PCのログ情報を集めて解析し、不審な通信や挙動のある端末、ファイルを特定する「ファストフォレンジック」を行います。これならば1週間程度で数百台のPCを一括でスキャン可能です。
――数百台を短い期間でスキャンする、というのはなかなかコストがかかりそうですが、どれぐらいかかるものなのでしょうか?
[上谷氏]ファストフォレンジックの費用感は、PC1台あたりで数万円程度になります。これでマルウェアなどに感染していることが判明したPCを、1台数十万円からになりますが、深掘り調査します。
以前は全て深掘り調査していたのですが、この場合は時間も費用も大変ですし、業務復旧も遅れることになりますからこのようなかたちになります。
――大規模調査になりますね。単純なスキャンで以外で、なにか気を付けないといけないことってあるのでしょうか?
[上谷氏]Emotetに感染するとおおむね(迷惑メールの送信のため)メールアドレスが漏えいします。最近は「メールアドレス=ID」であることが多いので悪用されやすいです。このため、ECサイトの運営をしているところは不正ログインがあるかどうか調査してほしいという依頼もあります。また、ダークウェブにメールアドレスとパスワード、クレジットカード情報などのデータが流れていないか確認してほしいといった調査依頼もあります。Emotetに感染したと感じた時はまずパスワードの変更をお勧めします。
メールの添付ファイルの開封や、ウェブサイトアクセスで最初に入ってくるものはダウンローダーのため、Emotet自体は大した機能を持っていません。その後、C&C(指令サーバー)とやり取りを行い、ランサムウェアなどさまざまなマルウェアをダウンロードして被害を拡大します。
迷惑メールを大量送信しているケースもあります。データを消されたり、暗号化されると業務に直接影響しますが、迷惑メールの大量送信は、受信した取引先などから問い合わせの電話が鳴りやまないような状況になり、これも業務に大きく影響します。
費用・人材が足りなくてもできる、中小企業のセキュリティ対策
――セキュリティ対策が遅れているのは大企業ではなく、中小企業だと思いますが、このあたりに対してアドバイスや有用な対策はありますか?
[上谷氏]セキュリティ製品を入れているかいないかの問題ではなく、考え方が重要です。セキュリティ製品を買ったから問題解決というものではありません。
よくあるケースでは、企業内システムなどに外部から不正に侵入されないようにするための入口対策として、高いUTM(統合脅威管理)を導入していても、更新されていない状態のままといったことがあります。企業内にUTMを使いこなせる人材もいないのでは効果的とは言えません。
現在、マルウェアの侵入は完全に防げないという前提でC&Cサーバーとの不正通信を止めるというのがセキュリティの世界ではトレンドになっております。大企業ならばEDR(Endpoint Detection and Response)を導入するかもしれませんが、中小企業では費用的にも人材的にも厳しいです。
Emotetのように迷惑メールを起点としたマルウェア感染を完全に止めるためには、全従業員に対する教育が必要となりますが、マルウェアに感染してもC&Cサーバーとの通信を止めれば二次被害がなくなります。そこで我々が出したのが出口対策の「DDHBOX」です。
――機能としてはシンプルにまとめられた製品ですが、その背景や機能はどういったものでしょうか?
[上谷氏]中小企業に関しては、セキュリティ対策に月1万円や2万円でも苦しいと言われることがあります。一方、第三者機関がセキュリティソフトをテストしていて、無償で使える「Windows Defender」でも優秀な製品とあまり性能は変わらないといったデータも出ています。
セキュリティソフトやUTMを導入したり、挙げ句の果てにサイバー保険に入るなど、その負担が増えてもあまり効果もなく、事故も起こすケースを見ています。
DDHBOXは、企業内システムなどに侵入されても重要情報などを持ち出されないための出口対策として、C&Cサーバーの通信遮断に特化している代わり、(機能を盛り込んだUTMよりも)スループットが速く、ラックの作成したC&Cサーバーリストも毎日自動更新されます。中小企業でも捻出できる月数万円の費用感で提供できているのもセールスポイントになっています。結果としてDDHBOXは大企業や個人も含めて350件以上導入が進んでおります。
DDHBOXは、C&Cサーバーと通信を行おうとした段階でアラートが発生します。さらにDDHBOX1台につき最大300万円のサイバー保険の適用になるので、調査費用を抑えることができます。「当社はマルウェアに感染しても出口対策を行っており二次被害を出さないようにしている」というアピールにも使われているようです。
「どこよりも速く、日本全国、駆けつける」現場を大切に、フォレンジックに取り組んでいく
――最後になりますが、企業が御社にサイバー被害に関してフォレンジックを依頼する理由を自己分析でお願いします
[上谷氏]やはり「対応スピードと納期が日本一速い」ことでしょう。
当社は24時間対応で、電話依頼があれば日本全国駆けつけます。「現場に向かって初動対応を行い、注文をもらってから、スキャン、レポート報告を行う」までが一番早い会社だと思います。
こういうご時世でもあり、「現場に駆けつけること」について、違う考えをお持ちの方もいると思いますが、「大きなトラブルが起きた現場」ですから、現場の問題が関係していることも多いですし、現場に行ったから分かることもあります。また、「とにかくどうしたらいいか分からない」といった不安に一緒に向き合えるのも「駆けつける」ことのメリットだと思います。
ですから、フォレンジック事業のメンバーとエンジニアが駆けつけて、その技術に合ったフォレンジック調査の提案をしていく、というのが当社としてアピールできる部分ですし、評価いただいている部分だと思います。
フォレンジックに関してお問い合わせいただく方は、「フォレンジック」という言葉に初めて触れる方も多いので、実際の作業内容や効果などを説明し、お客様の問題をヒアリングさせていただいた上でご提案するようにしています。
新型コロナウイルス感染症(COVID-19)感染拡大により、当社もZoomによるオンラインのインシデント対応を用意しています。しかし、お客様としては優先度が違うようで「まずは来てほしい」と言われることが多いです。
我々も、依頼に応じてすぐに駆けつけ、日々、対応にあたっています。調査が必要なときは、是非、弊社にお問い合わせて欲しいと思います。
