クラウドデータ収集とネットワークフォレンジック分析

クラウド コンピューティングとデジタル フォレンジックは相互に浸透し続けており、「クラウド フォレンジック」という用語は、クラウド インフラストラクチャからデジタル フォレンジック データを取得することを指します。インシデント対応とデジタルフォレンジックは長い間、コンピュータ犯罪捜査の重要な部分でしたが、クラウドコンピューティングの急速な成長に伴い、インシデント対応とデジタルフォレンジックはますます困難になっています。

ローカルフォレンジック証拠には、ログ ファイルから収集された情報、ディスクに保存されたデータ、ネットワーク トラフィック、侵入マーカーなどが含まれます。ローカル分析とクラウド サービス分析の基本的な違いは、ローカル コンピューターを使用すると、システムにログインするだけで情報を収集して分析できることです。しかし、クラウドの場合、マシンに物理的にアクセスすることはできず、クラウド アプリケーション プログラミング インターフェイスを介してコンピューターの特定の部分にのみアクセスできます。

この記事では、まずクラウドについて簡単に説明し、次にクラウド フォレンジックがこれまで以上に重要になった理由と、さまざまなクラウド サービスや展開モデルから情報を取得する際の課題について説明します。最後に、クラウド フォレンジックの取り組みを成功させるために、クラウド サービス プロバイダーと良好な関係を構築するためのベスト プラクティスについて説明します。

クラウド コンピューティングには、いくつかの異なる展開モデルがあります。

• プライベート クラウド - この展開モデルでは、組織はフル アクセスを持つ独自のプライベート クラウドを実行します。クラウドはファイアウォールの背後に存在し、組織はクラウドに保存されているデータのプライバシーを維持しながら、ユーザーにアクセス インターフェイスを提供します。
• パブリック クラウド - パブリック クラウド モデルでは、サービスはインターネット経由で一般に提供されます。パブリック クラウドには、Amazon Web Services、Google Computer Engine、Microsoft Azure などがあります。パブリック クラウドでは、仮想化環境がよく使用されます。
• ハイブリッド クラウド - ハイブリッド クラウド モデルでは、プライベート クラウド サービス、オンプレミス クラウド サービス、パブリック クラウド サービスが混在します。このアプローチにより、企業はサードパーティ プロバイダーに完全に依存することなく、クラウドのコスト メリットを享受できるようになります。

現在、企業で一般的に使用されているパブリック クラウド コンピューティング サービス モデルは主に 3 つあります。含む：

• インフラストラクチャ全体（物理/仮想マシン、ファイアウォール、負荷分散、ハイパーバイザーなど）を提供するサービスとしてのインフラストラクチャ（IaaS）
• プラットフォーム（オペレーティングシステム、データベース、Webサーバーなど）を提供するサービスとしてのプラットフォーム（PaaS）
• SaaS (Software as a Service) では、組織がサービスにアクセスし、サービス プロバイダーがサービスを管理します。

クラウド ネットワーク フォレンジックの重要性

クラウド ネットワーク フォレンジックの重要性は否定できません。攻撃者がクラウド サービスを侵害しようとした場合、フォレンジックはそれを検出できるだけでなく、組織がそのような攻撃をブロックして防止するのにも役立ちます。

サイバーフォレンジックに関しては、攻撃はすでに発生しており、組織は大量のデータから証拠を収集して、ハッカーが誰であるか、ハッカーがどのようにサービスを攻撃したか、ハッカーがどのような情報にアクセスしたかを判断する必要があります。ネットワークフォレンジック調査員は、これらの結論に到達するために、ファイル システム、プロセス、レジストリ キー、ネットワーク トラフィックなどの取得したデータを慎重に調査する必要があります。

クラウド フォレンジック プロセスの根本的な違いは、サイバー フォレンジック調査員が利用できるデータが制限されることです。調査員は物理的なマシンではなく仮想イメージを扱わなければならないことが多いため、データが限られていることが最大の障害となります。データ収集の大部分はクラウド プロバイダーが提供する必要があり、提供されるデータは必要なデータではない可能性があります。幸いなことに、クラウド フォレンジックは、従来のフォレンジック プロセスが依存するのと同じ種類のツールに依存しています。クラウド フォレンジックはここ数年で急速に進化しており、今後数年間でクラウド フォレンジック専用に作成された新しいツールが作成される可能性が高いです。

クラウドからのデータ収集

収集される情報の種類は、組織が使用するクラウド サービス モデルによって異なります。右の表は、SaaS、PaaS、IaaS、またはローカル プライベート ネットワークを使用する場合に組織が期待できる情報を示しています。

当然のことながら、クラウド ネットワーク フォレンジック分析を実行する場合、組織は、ローカル コンピューターでフォレンジック分析を実行する場合と比べて、クラウド内の同じ情報にアクセスすることはできません。

クラウドデータ収集: サービスプロバイダーとの提携

このギャップを埋めるには、企業はクラウド プロバイダーと連携して、アプリケーション ログ、データベース ログ、ネットワーク ログなどの分析用情報を取得する必要があります。監査とデータ分析を成功させるために重要な情報を得るには、クラウド プロバイダーとの継続的なオープンなコミュニケーションを維持し、良好な関係を構築する必要があります。

残念ながら、多くのクラウド プロバイダーは顧客の調査を気にしておらず、非常に非協力的です。あるいは、法医学的調査に必要なデータの収集を支援するために、情報および/またはセキュリティ対応チームが設置されている場合もあります。場合によっては、クラウド プロバイダーが法廷で使用できない誤った情報を渡すこともあります。これは無理があるように思えるかもしれませんが、クラウド プロバイダーが適切な情報を見つけて提供することは非常に困難であり、エンタープライズ環境の複雑さは、クラウド プロバイダー環境の複雑さに比べれば取るに足らないものです。多くの場合、組織のデータは世界中の複数のデータセンターに保存されており、どこに保存されているのか誰も知りません。さらに、このデータは他の組織のデータとは別に保存されていないため、プロバイダーがどのログがどの会社のものであるかを判断することは困難です。

クラウド プロバイダーを選択する際には注意を払うことが重要です。クラウド プロバイダーによって競争力は異なり、企業のクラウド ネットワーク調査は大きな成功になる場合もあれば、完全に失敗する場合もあります。

クラウド サービス プロバイダーを評価する際、企業はクラウド サービス プロバイダーの言うことを盲目的に信じることはできません。プロバイダーがクラウド サービスは安全であると主張する場合、企業はプロバイダーがインフラストラクチャに対してどのようなテストを行ったか、またどのようにテストされたかを尋ねる必要があります。企業は、データがどこに保存され、誰がアクセスできるのかについても確認する必要があります。セキュリティ侵害が発生した場合、IT 部門と連携することが重要な基準となります。フォレンジック調査員は、脆弱性に関する必要な情報を取得するためにクラウド サービス プロバイダーと緊密に連携する必要があることはわかっています。プロバイダーが独自のセキュリティ チームを持っている場合、これは大きな利点となります。

クラウドとクラウド サービスの発展が加速するにつれて、クラウド ネットワーク フォレンジックの重要性はますます高まります。組織は、将来クラウド コンピューティングのフォレンジック調査を実施する必要がある場合に、サービス プロバイダーが組織の効率と成功を妨げないように、契約を締結してクラウド サービスを導入する前に、すべての条件を慎重に確認することが重要です。