デジタル・フォレンジック研究会の「証拠保全ガイドライン第7版」によれば、ファストフォレンジックとは、企業などで発生した情報漏洩などのインシデントに対して、「早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること」という定義がなされています。
つまりファストフォレンジックは、問題の完全なる解明は先送りにして、何よりもまず迅速に事態の正常化を目指すための取り組みといえるでしょう。
ファストフォレンジックの意識が重視されるようになってきた背景には、SSD搭載デバイスの登場やディスクの大容量化、マルウェアのネットワーク化など、調査範囲の拡大に伴い、1つのデバイスを詳しく完全に調査している余裕が失われつつあることが背景にあります。
※参照元:(pdf)デジタル・フォレンジック研究会「証拠保全ガイドライン第7版」(https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf)
ファストフォレンジックでは必要な情報を最初に収集・保全して、さらに駆逐すべきウイルスや遮断すべき不正な侵入経路などを早急に処理します。
ファストフォレンジックの最大の目的は、速やかな初動対応をフロー化しておき、万が一のインシデント発生時にも、最短距離で問題解決へ向けた道筋を構築することといえるでしょう。
サイバーセキュリティの分野では早期発見・早期対応・早期解決が被害拡大防止において重要であり、ファストフォレンジックの意識を高めておくことで、結果的に自社へのダメージや風評被害を低減させることにつながります。
ファストフォレンジックでは真っ先に必要な情報を抽出・コピーして、それらを詳しく解析します。
再発予防のために脆弱性のチェックやシステムの再確認を繰り返すのでなく、原因究明へダイレクトにアプローチできる経路で情報管理を効率化するため、そもそもどうしてインシデントが発生したのかという理由の解明を高速化できることが重要です。
もちろん、判明した原因に対して、速やかに適切な処理へ移行することもファストフォレンジックの一貫といえます。
ファストフォレンジックにおいて最初に収集・保全される必要最小限のデータは、後々に証拠として価値を持つであろう重要な情報です。なお、ファストフォレンジックの初動対応として抽出されるデータには、例えばWindows OSであればイベントログやインターネット履歴、ジャーナル、メタデータといったものが挙げられます。
データの抽出は証拠データが消失する前に完了せねばならず、専門ツールを利用して早急に実行されることが通常です。
フォレンジック調査では、専門スタッフや情報セキュリティのコンサルタントなどが、クライアントの会社や問題発生の現場を訪問して、詳しい調査や確認作業をすることがあります。しかしファストフォレンジックの場合、何よりも即座の対応が重要です。
そのため、ファストフォレンジックではクライアントとネットワークを介して連携し、ダイレクトにネットワークやデータベースを調査するリモート・フォレンジックが選択されます。
また、ネットワーク経由で調査することで、不正アクセスの痕跡を検証できることもポイントです。
EDR(Endpoint Detection and Response)とは、ユーザーのパソコンやサーバーにおける不審な挙動を自動的に検知して、速やかに対応できるようサポートしてくれるソリューションです。
EDRはパソコンやサーバーの監視者ともいうことが可能であり、何かしらの問題やリスクが生じた時点で管理者へ通知し、さらにログを保存します。
そのため、EDRは日常的に実行できるファストフォレンジックの第一段階とも考えられそうです。
企業として保管している顧客の個人情報や、クレジットカードや銀行口座といった信用情報が漏洩・流出してしまった場合、すぐさま流出を止めて、さらに情報漏洩の再発も防がなければなりません。
しかし、そのためには不正アクセスの侵入経路や情報漏洩が引き起こされたセキュリティホールを早急に発見することが必要です。
また、外部からアクセスしてきた相手の痕跡を記録し、データの隠蔽・消滅を防ぐという点でもファストフォレンジックは重要です。
悪意を持ったマルウェアに感染してしまった場合、どのような感染経路によってマルウェアが侵入してきたのか、速やかに解明しなければさらに複数のマルウェアを送り込まれるリスクが残ります。
また、マルウェアによって重要な情報や証拠データが消されたり書き換えられたりしないよう、ファストフォレンジックで必要なデータを確実に抽出・保護することが大切です。