はじめに
経済産業省は、企業や組織に対して、サイバー攻撃や情報漏洩に対するセキュリティを強化する必要があると度々注意喚起を促しています。そして、近年は「フォレンジック」と呼ばれる言葉がWeb上で見られるようになりました。フォレンジックとは、インシデントが発生した際に、該当の端末に関わる記録媒体に残されたデータを法的な証拠として解析し、法的な証拠とするものです。
サイバー攻撃をブロックしたり、情報漏えい対策をしつつも、万が一インシデントが発生した場合、顧客や関係企業に与える影響は計り知れません。たとえ自社に非がなかったとしても、疑いの目を向けられる可能性もあります。そこで、フォレンジック監査機関を利用して証拠の提出を行い、経緯や責任の所在を明らかにするのです。
ただし、フォレンジックには長い時間がかかるとされています。監査機関に該当端末を送付し、データのコピーやログの抽出、分析作業を行ったうえで報告資料を作成するためです。そのため、監査を待っている間に関係各所への説明が滞ったり、顧客からの信頼を損なう可能性があります。そこで、この記事では、証跡管理製品Ekranで記録した操作記録(証跡ログ)をフォレンジックの一部として提出し、報告の一部を時短化する方法を見ていきたいと思います。
Ekranとは
Ekranは、「証跡管理・内部不正対策」というジャンルに所属するセキュリティ製品です。監視対象の端末で、ユーザーがクリック操作や文字入力操作を行った際に、スクリーンショットを取ります。そのスクリーンショット1枚1枚に、「いつ」「どの端末で」「どのユーザーが」「どんなアプリを使用したか」などのメタデータを付与し、セッションごとに管理しています。
操作記録は証跡ログとして管理者が管理・監視します。管理者はユーザーが使用した時間帯やアラートの発生記録などを参考にしながら、必要を感じた際に精密な調査を行ったり、監査機関へ報告したりすることもあります。
操作記録をエクスポート
では、どのように操作記録(証跡ログ)をフォレンジックの一部として提出するのでしょうか。
Ekranは、「エクスポート」という機能を持っています。エクスポート機能を使うことで、セッション記録の中から報告すべき操作が行われている期間を指定してデータを取り出し、フォレンジックの一部として提出することが出来ます。
Ekranの取得する操作記録は「画像」と「メタデータ」を有しているため、目で見て分かりやすく、操作記録としても直感的に理解できる証拠となります。Ekranの証跡ログをエクスポートして関係各所へ報告することで、インシデント発生時に複雑になりがちな状況報告を時短化したり、自社社員の潔白を証明することが可能です。インシデントが発生した時に効率的に時間を使うことが出来れば、復旧までの時間も短くなります。
エクスポートの手順
エクスポートの手順は以下の通りです。
1.Ekranセッションプレイヤーから、検索機能を使って報告すべきセッションを表示します。
2.ツールを選択します
3.持ち出し用エクスポートを選択します
4.必要な情報が記録されているスライドの日時を選択します
セッション全てをエクスポートする選択肢もありますが、エクスポート機能は、数十分程度の再生を想定した機能です。できるだけ、見せたい箇所のみを指定頂き、エクスポートください。
5.提出先の事情などで保護が必要な場合は、パスワードで保護します。
6.エクスポートを選択します
7.セッションプレイヤー上部に、作業中の表示が出ます
8.エクスポートが完了すると、「持ち出し用エクスポートの履歴」が表示されますので、「ディスクに保存」を選択します
9.リンク先から、エクスポートデータプレイヤー(EkranForensicPlayer)をダウンロードします
※Linux、Mac端末で再生を行う場合は、再生端末に「Mono Framework」をインストールください。
10.エクスポートデータプレイヤー(EkranForensicPlayer)と、ディスクに保存した記録データを再生しやすいフォルダへ保存します
※Linux、Mac端末で再生を行う場合は、再生端末に「Mono Framework」をインストールください
11.「EkranForensicPlayer.exe」を起動します。
12.「開く」メニューから同じフォルダ内にあるエクスポートデータを選択します。
13.パスワードを入力した場合は、パスワード入力欄が表示されます
パスワードを入力して、「OK」を選択します
14.エクスポートした操作記録(証跡ログ)の再生が始まります
以上で、一連の流れは完了です。この操作を行うことで、Ekran 管理ツールにアクセス出来ない外部環境にデータを提出する場合でも、エクスポートした操作記録(証跡ログ)を再生できるようになります。関係各所へ提出する際も、提出容量を削減でき、パスワードをかけることで安全性も高まります。
おわりに
Ekranを始めとする証跡管理製品を導入することで従業員のセキュリティに対する意識を高め、万が一インシデントが発生した際にはわかりやすい証跡ログをすぐに提出できます。そして、役員や従業員の不安を早く取り除くことが出来ます。サイバー攻撃対策や情報漏洩対策だけでなく、操作記録(証跡ログ)の提出しやすさという観点も、今後の製品選定においては重要性を増していくことでしょう。
Ekranのエクスポート機能は有用ですが、正式なフォレンジック監査機関を通した報告資料が法的な証拠となる事実は変わりません。現在は早急な原因究明に向けたファストフォレンジックという取り組みも始められています。Ekranの証跡ログはあくまで「フォレンジックの一部」とお考え頂き、複雑な報告を時短できるツールとしてのご活用イメージをお持ちいただけましたら幸いです。
ここまでお読みいただき、ありがとうございました。