NEWインシデントレスポンス・フォレンジック調査

調査フロー

クライアントPC1台あたり調査・解析から報告書提出まで約10営業日となります。
※インシデントや環境等によって調査日数は変わります。

• STEP1

  ヒアリング

  インシデント発生時の状況をヒアリング

  インシデント対応支援やフォレンジック調査は緊急を要することが多く、時間がたつとデータの改変が発生する恐れがあります。システムの状態など極力短時間でヒアリングし、早急に調査を着手いたします。

  1. 初動対応のアドバイス

     インシデント発生時から現在までの状況をヒアリングし、初期対応の方針をアドバイスします。

  2. 解析対象の把握

     対象となるシステムのログの提供可否や暗号化、USB接続制限など、物理的なセキュリティの有無を確認し、解析対象を決定します。

• STEP2

  データ収集・証拠保全

  エンジニアの現地派遣によるオンサイト保全作業

  パソコン、スマートフォン、各種サーバ等のデジタルデータの証拠能力を失わないよう収集し、保全します。

  1. エンジニアの現地派遣によるオンサイト保全作業、または端末の受領によるオフサイト保全作業

     調査対象端末内のHDDをイメージコピー(完全コピー)し、証拠保全用と調査分析用のHDDを作成します。 また、オリジナルHDD(原本）と証拠保全用HDD(写し）の同一性検証を行います。
     フォレンジック専用のイメージコピー装置を使用することで、端末受領時からデータの変更がないように原本への書き込み(改ざん)を防止した状態でコピーを取得します。

• STEP3

  調査・解析

  保全したデータの調査解析

  証拠となり得る情報を見つけ出すために、コンピュータ以外にも様々な機器の中にある情報を調査・分析した上で原因を特定します。

  1. エンジニアによる証跡の調査・ログ分析

     収集・保全したデータに対して各種ファイルシステムやログ、データ形式に応じた調査を行います。当社ではバックボーン・得意分野の異なるフォレンジック専任エンジニアをアサインし、目的に応じた調査を実施することで、インシデントの種別ごとに異なる解析を素早く的確に進めることができます。

  2. 解析したデータのタイムライン化

     調査対象者が各種端末を用いて時系列での調査を行います。特定の期間に何を行っていた可能性が高いのか、各種端末ログの状態や調査目的に応じて調査を実施し、タイムラインを作成します。また、各種履歴やデータのリストの作成、実データの抽出なども必要に応じて実施します。

  3. 削除データの復元・復旧

     調査対象者や外部からの攻撃によって、調査対象のデータは削除や改ざんされている可能性が高いため、データの復元や復旧を実施したのち調査を行います。目的に応じて複数の手法でのデータ復元を実施することにより調査の精度を向上します。

• STEP4

  報告

  報告

  調査対象とした組織・人・端末・期間、調査に使用した製品・ソフトウェア、実施した調査手続きの内容、分析結果から得られた情報等を正確に記載し、信頼性の高い報告書をご提供します。

  1. 報告会の実施

     お客様の必要に応じて、実データの納品や、簡易的な報告から詳細な報告書の作成まで各種対応いたします。調査報告会の実施も可能ですのでご相談ください。

  2. 原因や被害状況などの説明・再発防止策の提案

     弊社ホワイトハッカーのもつ、脆弱性診断やペネトレーションの観点も含めた再発防止のご提案が可能です。ご依頼の内容に応じて、各種再発防止をご提案いたします。