フォレンジック"機能"
フォレンジックとは?
フォレンジック(forensic)とは、一般的に「法廷の~」「法医学の~」といった言葉を指す形容詞で、フォレンジックスという名詞になると、「鑑識課」「科学捜査」などの意味があります。
例えば、実際の事件現場で指紋採取などの物的証拠を集めるための鑑識の役割を果たすものがフォレンジックです。
つまりフォレンジックとは、過去に発生した事象の証拠保全・不正アクセスの追跡を行う手段であり、事件が発生した後の「証拠保全」「解析」「証拠提出」の機能を持ち合わせているもののことです。
ネットワークフォレンジックとは?
フォレンジックには、大きく分けて2つの製品群が存在します。ネットワーク内を流れる全パケットを取得するネットワークフォレンジックと、直接PCやサーバのHDDを調査するコンピュータフォレンジックです。
この2つの製品群の大きな違いは、ネットワーク上に流れる「パケット」単位で情報を解析するのか、HDD内に記録された情報を解析するのか、という点にあります。
ネットワークフォレンジックでは、取得したパケットがどのネットワーク機器を通ったかという経路まで解析することができるため、挙動の怪しい不正端末を特定しやすいという特徴があります。
また、コンピュータフォレンジックでは、調査対象となる端末のHDDを証拠用と解析用に2つ複製し、解析用のHDDにおいて消去されたファイルの内容まで判別することができ、証拠を特定し、保全することが可能となります。
一般的に、これら2つの製品群はフォレンジックの両輪となっており、ネットワークフォレンジックのログ解析で不正端末の特定を行い、特定された不正端末を直接コンピュータフォレンジックで調べていくという関係にあります。
ネットワークフォレンジックは、ネットワークにフォレンジックツールを配置してパケットを取得し、不審な挙動をしている端末があれば、管理者に警告を出し、その端末の操作ログを追跡することができます。また、組織内の人々に事前にツールを設置する旨を伝えることで、抑止効果を発揮することができます。
「NetRAPTOR」のWebサイト http://www.netraptor.jp/