@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

一括保全するのではなく、必要なデータのみ都度収集し解析する考え方

フォレンジック

インシデントが発生した際、揮発性情報から始まりディスクイメージまで一連のデータを一括して収集するのが伝統的なやり方ですが、この流れをそのままに、リモートから大量の対象に対して実施するのは最近の状況(環境)からすれば現実的ではないのではないか?と個人的には考えています。

例えば昨日のBlogネタとして書いた、マルウェア感染端末において、最初に収集すべきデータとして何を考慮するべきか?という点で、私はついつい必要なものを一括して取得して次の工程へ進めるべきだろうとだけ考え、工夫する事は深く考えずにいました。

しかし、「第5章 つながった工程の流れを作る」P112 を読んでいて感じたのは、そもそも″必要とする全てのデータを一括して最初に取ってくる”という考え方がよくなかったのではないかと考え始めています。 

ザ・トヨタウェイ 実践編 (上)

ザ・トヨタウェイ 実践編 (上)

  • 作者: ジェフリー・K・ライカー,稲垣公夫,デイビッド・マイヤー
  • 出版社/メーカー: 日経BP社
  • 発売日: 2005/11/11
  • メディア: 単行本
  • 購入: 1人 クリック: 11回
  • この商品を含むブログ (4件) を見る
 

 リモートからの調査工程を考慮した場合、一度に大量のデータを一括取得したとしても、調査に着手できるのはそのうちの一部だけです。むしろ、後工程で必要なデータだけを取りにいけば、取得対象範囲を絞る事になり保全に必要な時間も短くなりますし、次の工程でやるべき事も明確になり流れを作りやすいのではないかという事です。

例えば、揮発性情報の収集を行う際、EnCase Enterpriseを利用するとしましょう。この場合収集可能な情報として、Snapshotとメモリの両方を一度に収集することができますが、Snapshotの方が簡単かつ時間的にも早く収集する事ができます。

メモリイメージの収集も同時に行う方がよい手順であろうと考えていましたが、これを分割し、まずSnapshotを収集して次の工程に流し調査を開始する、その間にメモリイメージを収集するという流れを作る方が、結果的に後工程が必要とするタイミングで必要なデータを渡すことができる気がしてきています。

ただし、揮発性情報という点を考慮すると、時間の経過により情報が失われてしまうので、この部分でどの程度の時間経過で収集が行われるかは検討すべき課題なのかもしれません。

Snapshotとメモリイメージの収集完了を待ってから後工程に回した場合、後工程は同時に二つの処理すべきデータが届くことになり、平行処理でもしない限りは効率が落ちることが想像できます。収集は機械的に実施できますが、それを受け取り調べる側の人間の側はそれほど便利には出来ていないでしょう。

だとすれば、Snapshotにより収集された情報をまずは確認し、そこで得られた情報をベースに、前工程に対して必要な情報を指示して収集する方が結果的に無駄を少なくできないでしょうか。Snapshotから始めるのが良いのか、メモリからなのか、ここも検討が必要でしょう、これまでの伝統的な考え方でいくと良くないのかもしれません。

マルウェア感染が疑われる場合に、どこから着手すべきかを考える上でも必要になる考え方になってきます。先日、マルウェア感染が疑われる場合に実行形式ファイルをいかに収集するか?範囲を広げると収集サイズが増えてしまう、という事をネタにしました。

これは″一括して実行ファイルを収集しよう”としている事がきっかけで問題が発生しているわけですが、本当に実行ファイルを全て収集する必要があるのかをもっと分解して考えてみる必要があるのかもしれません。(または、後工程で必要だとしても、本当にこの段階で必要としているか?)

少し離れて見ると、最初の段階で実行形式ファイルを集めることは後工程からすると優先度は低く、例えばメモリイメージの解析結果から得られた、後工程が必要としている実行形式ファイル部分だけを収集すれば流れとしては足りるのかもしれません。

ここは実際に流してみないと分からない部分も大きく、いまは単に机上の思い付きで書いているだけです。しかし、調査の工程において、後工程が必要としている情報だけを取りにいくという考え方により、結果的にムラをなくす事ができより付加価値の高い時間、すなわち調査時間を有効に使えるのではないかという事です。

調査工程で必要とする情報を、一個ずつ流す方法を模索してみても良いのかもしれませんが、結果的に調査工程に渡すデータ量が少なくなることが、生産量の低下に繋がる結果を引き起こす可能性もあります。まだまだ理解できてない部分が多いので、単に量を減らすだけだと全体として繋がらず生産量の低下を引き起こしかねないですね。 

従来通り、データを一括収集して調査に入れば、包括的に調べる事ができ進捗として悪いくないという考え方も出来るかもしれませんが、個人的にはここに強い違和感を持っていたりします。確かに様々なデータがあれば安心ですが、使わない又は必要のないデータまで取るのは無駄なのでは?という素朴な疑問もあります。米国製品とかは、さすが大量生産のお国柄という作りになっているなぁと感じてしまうわけです。

たくさんのデータを調べる事は、ある意味で仕事している感があるのですが、個々のデータをしっかり確認し、ムラがない調査品質を実現するという点では、一個流しのような考え方のほうが維持しやすいのではないかというのが現時点での推測ですが、実際にかかる時間を計測してみないと駄目でしょうね。

まずは社内で実施している手順を組み替えて見る必要がありそうです。