アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

フォレンジッカーに必要な知識?

NICCSのDigital ForensicsにおけるKSA(Knowledge, Skills, and Abilities)では、ナレッジとして約30個の項目が列挙されています。

ABC順に並んでいるようで、最初に出てくるのが「Knowledge of anti-forensics tactics, techniques, and procedures」とアンチ・フォレンジックに関する技術に関する知識となっており、やや全体が把握しにくいようにも感じます。

かなり大雑把な整理になりますが、大きくは以下のような項目になるのではないでしょうか?

  

(1)手続きに関する知識

項目としては技術的な内容以外に、法律や手続きといった部分もよく出てきます。例えば「産業横断サイバーセキュリティ人材育成検討会 最終報告」では、「フォレンジックス」については保全(複製の取得)を行う人員を想定しているようですので、関連する知識が必要になると思われます。

米国と日本では法律の違いなどもありますので、日本という点ではデジタル・フォレンジック研究会の証拠保全ガイドラインが参考資料になると思われます。(参照される場合には最新版を確認してください)

デジタル・フォレンジック研究会 証拠保全ガイドライン 第5版

https://digitalforensic.jp/home/act/products/df-guidline-5th/

 また、書籍であれば、下記があります。 

デジタル証拠の法律実務Q&A

デジタル証拠の法律実務Q&A

  • 作者: 高橋郁夫,梶谷篤,吉峯耕平,荒木哲郎,岡徹哉,永井徳人
  • 出版社/メーカー: 日本加除出版
  • 発売日: 2015/09/16
  • メディア: 単行本
  • この商品を含むブログを見る
 

 法律や証拠としての扱いなどは、技術的なトレーニングでなんとかなる分野ではないと思いますので、文献や専門家などが頼りになる分野でしょうか。

 

国内のスキルセットに関する資料では、この部分についての知識を求めている項目が見受けられない気がするのですが、気のせいでしょうか?
デジタルデータの保全、複製の取得を目的としている場合には、ケース(事案)によってはこの分野の知識が求められる事になります。例えばeDiscoveryなどでデジタルデータの複製が必要になるケースなどもあります。

 

(2)コンピュータやネットワークに関する知識

基本的なコンピュータの構成については、複製を取得する段階においても必要になる知識でしょうか。BIOSやHDD、各種インターフェイスやケーブルの接続方法などについての知識が必要になりますが、最近ではクラウドやモバイルデバイスに関する知識も必要になってきていますね。

一般的に利用されているWindowsやUNIX系OSに関する基本的な知識、TCP/IPなど基本的な知識という事になると、それぞれの分野における書籍を参照する事になりそうです。

Windowsについては内部的な理解も必要になるので、やはりインサイド Windowsやリソースキットといった書籍でしょうか。 

インサイドWindows 第6版 上

インサイドWindows 第6版 上

 

 技術的なお話でなければ、闘うプログラマー[新装版] ビル・ゲイツの野望を担った男達が個人的には好みだったりします。

ネットワークに関しては、TCP/IP関連書籍は多数出ていますが、技術的にはWireSharkの使い方も一緒に覚えると良いかもしれませんね。KSAsにも「Knowledge of common forensics tool configuration and support applications (e.g., VMWare, WIRESHARK)」とフォレンジック・ツールを補助するアプリケーションとしてWireSharkが登場しています。

仮想環境については、検証でも使いますし、マルウェアの動的解析などでも使う事になる部分でしょうか。

 

求められている スキルが、デジタルデータの保全、デジタルデータの複製であり、解析のスキルを必要としない場合もありえます。その場合、コンピュータやハードディスクなどの構造やインターフェイスなどについての知識が必要になります。最近ではクラウドからのデータ取得も発生しますので、その点ではネットワークを含めた知識も必要です。しかし、Windows内部構造の詳細、例えばレジストリに関する知識などはそれほど必要ないかもしれません。保全(複製取得)だけなのか、解析まで実施するのかにより、求められる深さや範囲が異なります。

 

(3)セキュリティに関する知識

基本的な攻撃手法・防御手法、インシデント・ハンドリングに関する知識などが列挙されています。

攻撃手法については、いわゆるペネトレーション的な分野もあると思いますが、セキュリティ関連企業が出しているレポートなどで、攻撃者の手口(TTPs)についての知識が必要になる部分も多いのではないでしょうか。

 

「産業横断サイバーセキュリティ人材育成検討会 最終報告」と「CSIRT 人材の定義と確保 Ver.1.0」では、この分野の知識について要求されていないように見えます。前提知識という扱いかもしれませんが、「CSIRT 人材の定義と確保 Ver.1.0」においても解析を前提としていないのであれば、どちらも複製の取得が主な内容になりますので、記載していないのかもしれません。

インシデント・ハンドラーが指定した機器を保全・複製の取得を行うだけであれば、セキュリティに関する知識という観点では、セキュアブートやアクセス権など、システム管理者よりの知識が必要になると思われます。

 

(4)デジタル・フォレンジックに関する知識

技術的な項目としては下記がポイントでしょうか。マルウェア解析は別枠で考えた方がよいかもしれませんが、大きくはファイルシステム・ファイルタイプ・カービングというのがありますね。メモリは?とか思うわけですが、その辺りはSkill項目に書かれているようです。

NICCS Digital Forensicsより引用

Knowledge of data carving tools and techniques (e.g., Foremost)
Knowledge of file system implementations (e.g., NTFS, FAT, EXT)
Knowledge of how different file types can be used for anomalous behavior
Knowledge of malware analysis tools (e.g., Oily Debug, Ida Pro)
Knowledge of types of digital forensics data and how to recognize them

 

興味深いのは「産業横断サイバーセキュリティ人材育成検討会 最終報告」のスキルセットを参照すると、この辺りの知識は求められていないように見えます。

「CSIRT 人材の定義と確保 Ver.1.0」では、上記(3)、(4)、に関連すると考えられる項目が記載されています。ただし、先に書きましたが「CSIRT 人材の定義と確保 Ver.1.0」が、「産業横断サイバーセキュリティ人材育成検討会 最終報告」と同じく複製の取得を目的・範囲としているのであれば、フォレンジック用ツールに関する知識として記載されているのは、複製の取得に利用するツールの知識だけを想定しているかもしれません。

<2016/11/19追記>

「CSIRT 人材の定義と確保 Ver.1.0」の追加資料として下記が公開されており、その中12ページにはもう少し技術的な項目が書いてありますね。

http://www.nca.gr.jp/2016/pr-seminar/files/20160223recruit-hr-appendix.pdf より引用
任用前提スキル
 OS、コマンド、システムファイル、プログラミング
言語の構造とロジックに関する知識
 脆弱性診断に関する知識
追加教育スキル
 デジタルフォレンジックに関する知識
 メモリダンプ解析能力
 マルウェア解析能力
 リバースエンジニアリングの能力
 バイナリ解析ツールを利用できる能力
 セキュリティイベントの相関分析を行える能力

前提スキルと追加教育スキルで、ややマルウェア解析よりの内容を求めている印象を受けますが、スライドの中にマルウェア解析者の区分がないので、ここに含められているという事なのかもしれません。

<追記ここまで>

 

ざっくりとした印象としては、国内で求められている知識やスキルは、デジタルデータを保全、つまり複製する事を想定としており、解析する事は考慮されていないという事なのでしょうか?