現在、フォレンジクス（forensics）と呼ばれるセキュリティ管理手法が大きな注目を集めている。その語源である“forensic”とは、もともと“法廷の”“科学捜査の”という意味を持った形容詞で、コンピュータ用語として扱われる場合は、“利用者の行動をすべて記録し、追跡調査が可能なこと”“不振な行動は検知可能なこと”“自らの運用管理に不備がないことを証明できること”を意味する。その意味で、SEER INNERはクライアント環境における最適なフォレンジクスツールであり、シーア・インサイト・セキュリティや、同社のパートナーであるネットマークスでは、フォレンジクス基盤を支える重要なツールとして位置づけている。

フォレンジクスソリューション

フォレンジクス検討項目

　実際にフォレンジクス基盤を構築し活用するためには、その前提としてユーザーアカウントをマネジメントする認証基盤を構築したり、社内外でやり取りされる電子メールなどを記録しておく必要があるため、ネットマークスでは、SEER INNERをはじめとするセキュリティツールを効果的に組み合わせた「フォレンジクスソリューション」を提供している。

　例えば、“各クライアントPC上で、いつ・どこで・だれが・どんな操作をしているかを把握したい”“電子メールを経由した情報漏えいを防ぎたい”“万が一情報漏えいが発生した際に追跡調査ができるようにしたい”といった悩みを抱えている企業や自治体には最適なソリューションといえる。

　「ひと言でフォレンジクス基盤といっても、会社の規模や状況によって適用範囲が異なりますので、ネットマークスでは、ログ監視（モニタリング）と、証跡の保存（トラッキング）という2つの観点からセキュリティの成熟度を5段階のレベルに分けて、その中からお客様の実情に合ったフォレンジクスソリューションを、運用体制を含めて提案しています。運用体制はフォレンジクス基盤の導入で大きな課題です。必要に応じてCIOが監視や追跡調査を行う権限を持つ担当者（業務に精通した信頼できる人物）を任命し、目的以外に閲覧、使用しない旨を誓約させることが望ましいと考えます。その上で、最終的な目標はレベル5に到達することですが、これから運用を始める企業では、まずはレベル3を目標に始めると、スムーズに適用できると思います」とネットマークスのセキュリティビジネスソリューション部 部長の内田氏は語る。

　では、実際にフォレンジクス基盤のレベル1からレベル5までのポイントを紹介しよう。企業や自治体が個人情報保護対策を行う際の参考にしていただければ幸いである。特に2005年4月からはいよいよ個人情報保護法が完全施行されるので、少なくともレベル3の対策は早急に行いたいところである。

フォレンジクスレベル1 ログ監視 （モニタリング） ・UNIXサーバやファイアウォールなどの一部のログは収集しているが、事後的にモニタリングが行われている 証跡の保存 ・監視と証跡の意識はなく、ログは溜まりっ放しになっている フォレンジクスレベル2 ログ監視 （モニタリング） ・ログにより監視する対象は明らかになっているが、その目的が明確でない ・モニタリングの運用や判断がシステム管理者の裁量に任されている 証跡の保存 ・証跡の保存を行っているが、保存対象や保存期間、保存媒体の管理がシステム毎に管理者の裁量任せになっている フォレンジクスレベル3 ログ監視 （モニタリング） ・パソコンの操作を含めたログによる監視目的や監視項目が明確になっている ・ログ収集・保管・監査のためのツールが導入されている 証跡の保存 ・証跡を記録・保存する目的が明確になっている ・証跡を記録・保存する運用ルールが明文化されている ・証跡を記録するためのツールや設備が導入されている フォレンジクスレベル4 ログ監視 （モニタリング） ・ログが一元管理され、IT活用状況や個人の操作が把握されている・モニタリングの有効性が評価されている 証跡の保存 ・証跡が安全な環境に保管されている ・証跡の重要性、安全性、完全性が評価されている フォレンジクスレベル5 ログ監視 （モニタリング） ・ログによる監視の目的や監視項目が継続的に見直されている・モニタリングが個人情報流出の抑止・検知に役立っている 証跡の保存 ・厳格な証跡の収集や保管が組織的に行われている フォレンジクスレベル