ホーム
サービス
インシデント対応サービス

フォレンジック調査｜インシデント対応サービス

サイバー攻撃、情報漏洩におけるフォレンジック調査・インシデント対応を支援します

フォレンジック調査(インシデント対応)の概要

セキュリティインシデントの原因と被害範囲を徹底究明

フォレンジック調査、インシデント対応サービスは、標的型攻撃に代表される企業ネットワークに対する外部からの攻撃や、ウェブアプリケーションの改竄、不正アクセスなどのセキュリティ・インシデントの発生時に、初動対応の支援から本格的な調査（フォレンジック調査、マルウェア解析、ログの分析など）、復旧支援と再発防止策のアドバイスまでを、ワンストップで支援します。

フォレンジック調査(インシデント対応)サービス詳細

特徴

高度なフォレンジック技術

複雑化するサイバー攻撃の原因と被害範囲の究明には、経験豊富なフォレンジックエンジニアが必要不可欠です。
当研究所のインシデント対応サービスは、サイバー犯罪捜査官を始めとした法執行機関の専門家および民間企業のセキュリティエキスパートへのトレーニング実績を持つフォレンジックのエキスパートが対応します。

総合的な分析能力

フォレンジックエンジニアを筆頭に、マルウェア解析のエキスパート、攻撃者の視点、思考に精通したペネトレーションテスターなど、当研究所の能力を結集してインシデントの実態解明に臨みます。

CSIRTの運用を支援

初動対応や簡易的なフォレンジック調査および脆弱性診断の内製化や、サイバー演習の実施、インシデントレスポンスツールの提供などCSIRT運用支援を目的とした様々なサービスを提供することが可能です。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所のインシデント対応サービスは、サイバー犯罪捜査官を始めとした法執行機関の専門家へのトレーニング実績を持つフォレンジックのエキスパートが対応します。

さらに、マルウェア解析のエキスパート、攻撃者の視点、思考に精通したペネトレーションテスターなど、当社の能力を結集してインシデントの実態解明に臨みます。

サイバーディフェンスが誇るスペシャリスト

情報セキュリティサービス基準に適合

当研究所のフォレンジック調査、インシデント対応サービスは、経済産業省が定める『情報セキュリティサービス基準』に適合したサービスとして、『情報セキュリティサービス基準適合サービスリスト』に登録されています。

これは特定営利活動法人日本セキュリティ監査協会（JASA）による審査を経て、一定の技術的要件および品質管理要件を満たし、品質の維持向上に努めている情報セキュリティサービスであることを示すものです。

経済産業省「情報セキュリティサービス審査登録制度」

「情報セキュリティサービス基準」

「情報セキュリティサービス台帳」

対応事例

以下のようなセキュリティインシデントへの対応を支援します。

外部からの攻撃による情報の窃取
情報が漏洩した可能性がある
Webサイトの改竄
外部から侵入された
マルウェアに感染した
不正な通信を検知した
不正なアクセスを検知した

フォレンジック調査のアプローチ

ネットワーク全体の様々なエビデンスを統合的に解析

インシデントが疑われるケースでは、ログやマルウェアなどの個別の解析だけでは事象全体の把握が困難であり、結果としてその後の対応や判断を誤ってしまう可能性があります。当研究所では、発生した事象を可能な限り正確に把握するために、調査すべきコンピュータの全体やログ、マルウェアなどの複数の情報を総合的に解析します。

クライアントPCの調査

ディスクやメモリに残されているOS特有の痕跡やログ等を元に、マルウェアを始めとした不正プログラムなどの実行履歴を始め、情報窃取の有無などを行います。また、調査により判明した攻撃者による不正行為の状況を時系列に分析し、攻撃の全容把握に努めます。

サーバーの調査

ディスクやメモリに残されている攻撃の痕跡から、外部からどのような攻撃が行われたか（どのサービスに対して、どの脆弱性が突かれたか等）の観点で調査を進め、併せて情報窃取の有無等についても調査を致します。また、攻撃者により設置された不正プログラムファイルやプログラム実行履歴などの痕跡等から、サーバ上でどのような行為があったか等の調査を実施します。

ネットワーク機器、セキュリティ製品のログ調査

ファイアウォールやプロキシサーバなどのセキュリティ機器から出力されたログを元に、外部からどのような攻撃が行われたかを始め、クライアントPCやサーバ等の調査で判明した事項との相関分析などから、情報窃取の有無等の評価を行います。

パケット解析

お客様環境に設置されたネットワークセキュリティ機器などで収集されたネットワークパケットのデータを解析し、攻撃者によってどのような攻撃が行われたか、ネットワーク侵入後にどのような活動を行ったかなどの分析を行うとともに、クライアントPCやサーバ等の調査で判明した事項との相関分析なども行い、情報窃取の有無等の評価を行います。

マルウェア解析

お客様が収集したマルウェア検体を始め、弊社によるクライアントPC、サーバ等の調査で発見したマルウェア検体、パケットの解析により抽出したマルウェア検体などを対象に動的解析または静的解析を実施し、マルウェアが有する機能の分析を始め、セキュリティ機器等での検知、攻撃の有無の調査に資する情報の分析を行います。

フォレンジック調査方針

想定される侵害内容や調査に着手するタイミング、期間や予算など応じて、適切なフォレンジック調査方針をご提案致します。

ファストフォレンジック
標的型攻撃が疑われるケースなど、侵害可能性が広範囲に及んでいる可能性のあるインシデントの初動調査向けの調査方針です。Windowsマシンを主な調査対象として、限られた時間と予算の範囲で、なるべく多くのホストを調査し、被害概要を把握することを重視します。解析プラットフォームにはCDIR-Aを使用しており、お客さまご自身によるCDIR-Cを用いたデータ収集を行って頂くことで、インシデント対応の迅速化が可能です。
アドバンスフォレンジック
ディスク、メモリ、ログ、マルウェアなどあらゆるエビデンスを総合的に解析し、侵害の全容を明らかにします。情報の窃取や侵入がほぼ確実なケースにおいて、被害に至った経緯を含め精緻な調査が必要な場合に推奨する方針です。

インシデントレスポンスツール

CDIR - インシデント対応支援ツール

CDIRは適切な初動対応を支援することを目的としたツールです。調査対象端末の汚染や業務への影響を最小限に抑えながら調査対象データを安全に収集し、インシデントの影響範囲と被害内容を迅速に把握することが出来ます。

フォレンジック調査(インシデント対応)の流れ

No.	タイトル	概要
1.	ヒアリングとアドバイス	メールもしくは電話で発生した事象についてヒアリングさせて頂きます。ヒアリング内容にもとづき、被害の拡大防止と証拠の保全を目的としたアドバイスを実施します。
2.	対応範囲と内容の明確化と概算費用のご案内	情報漏洩の可能性の判断、インシデントの沈静化など、目的に応じた調査範囲および項目を定義し、概算費用をお知らせします。
3.	データの保全と収集	解析対象とするデータの保全と収集を行います。
4.	調査・解析	PCまたはサーバーのハードディスク、メモリのフォレンジック調査、各種ログの分析、マルウェア解析等を実施し、インシデント発生の原因や攻撃手法を調査します。
5.	報告書の提出／報告会の実施	調査結果報告書に基づき、報告会を実施します。
6.	対策支援	侵害を受けたネットワーク／システムの復旧支援、再発防止を目的とした対策の提案やアドバイス、継続的な経過の観察を支援します。