サイバー犯罪に対峙する警察の捜査力強化に協力〜セキュリティ道場 in 白浜〜

こんにちは。ラックでは珍しい秘書部所属のエンジニア、齋藤 実成がお送りする「第23回サイバー犯罪に関する白浜シンポジウム」（以下、白浜シンポジウム）の参加レポート第二弾です。

第一弾の記事はこちら：

ラックは、5月23日（木）～5月25日（土）に和歌山県で開催された白浜シンポジウムで、「セキュリティ道場 in 白浜（以下、セキュリティ道場）」と呼ばれる警察関係者向けのトレーニングを提供しました。

本稿では、当日講師を担当したサイバー救急センター フォレンジックサービスグループ グループマネジャーの佐藤・セキュリティアカデミー グループリーダーの高松・サイバー救急センター フォレンジックサービスグループの白鳥へのインタビューを交えて、セキュリティ道場の様子の一端をお伝えします。

セキュリティ道場とは

セキュリティ道場とは、サイバー犯罪の調査に欠かせないデジタルフォレンジック技術（インシデントレスポンスや訴訟等に際し、電磁的記録の証拠保全及び調査分析を行う一連の技術）を学んでもらう計2日間のトレーニングで、今年は30人に対して基礎知識を学ぶ講義と得た知識を活用して実際に調査を行う実践演習を実施しました。

実践演習では、PCから取得することができる通常のログ（PCの操作履歴や、何時にどんなファイルが作成されたかなどの、コンピュータ上に残る痕跡のこと）に加えて、様々な痕跡を残すことができるために近年、セキュリティ業界で注目を集めている、EDR ^※ のログ調査機能を用いた調査手法を取り入れました。

今回講師を務めたのは、ラックの精鋭セキュリティエンジニア3人です。インタビューでは、今回のトレーニングの狙いや演習のポイント、苦労した点などを聞きました。

トレーニングの狙い

齋藤：ラックが実施したセキュリティ道場でのトレーニングの狙いを教えてください。

佐藤：今回は、前提知識がゼロの人でも受講できるようにレベルを設定していました。サイバー犯罪の捜査を経験したことがなくても、例えば情報が持ち出された際の痕跡を調査する手法にはこういうものがあり、そこで得た痕跡はこのように証拠として活かされる、といった基本的な手法を知ってもらうためです。

齋藤：現在第一線で活躍している捜査関係者も多く参加していたようですが、サイバー犯罪の捜査をすでに経験している人にとってはどんなトレーニング効果が得られたのでしょうか？

佐藤：講義の構成を考える上では、捜査経験者のことももちろん考慮しました。普段の犯罪捜査ではEDRを見る機会はまだあまりないでしょうから、これを用いた調査手法を提供することで、「通常の捜査手法以外にこんなログからも証拠が取得できるのか」といった気付きがあるようにしました。

齋藤：受講した人のレベルはさまざまでも、それぞれが今後の捜査活動に役立つ気付きを得られるように工夫されていたのですね。
ところで、ラックはどういった目的から白浜シンポジウムに協力しているのでしょう？

白鳥：ラックでは、社長の西本 逸郎を筆頭に、多くの社員が「日本を衛る」という強い思いを共有しています。情報セキュリティの専門家が不足する昨今、専門家であるラックが警察組織に協力することで、安全な情報社会の実現を推進することができる。こうした思いから、社会貢献活動、産官学連携の一環として、セキュリティ道場をはじめとするさまざまなトレーニングの場を警察組織に提供しています。

より現実に即した形で体験できるように～実践演習のポイント～

齋藤：実践演習のポイントを教えてください。

高松：演習に取り組む中で、今回体験した調査方法を使えば捜査の幅を広げることができるかもしれない、といった気付きを受講者に得てもらうことです。そこで演習では、次のようなシナリオを用意しました。

"ある企業で内部不正を企て、営業秘密を持ち出した疑いがある人物がいる。その人物が情報の持ち出しを行った可能性について、証拠を集めてほしい"

受講者にはその事件に携わる調査員という立ち位置で、証拠の収集・特定に取り組んでもらいました。

佐藤：セキュリティインシデント（情報セキュリティ上の事故）が起きた際、被害に遭った会社を調べるのであれば、警察は会社の協力を得た上で被害の全容を調べることができます。しかし、疑いがかかっている会社に対して捜査を行う場合は、ある意味、警察と会社は敵対している状態となります。その状態では、ただその場にあるPCや情報資産を押収するということではなく、資産管理ソフトやEDRのログなど他に有益な証拠がないかを確認することが重要です。

しかし、どのようなログが存在する可能性があり、そこから何が分かるかを事前に把握しておかなければ、疑いがかかっている会社の実務担当者に対してその確認をすることができません。

このように、今回の演習では、単なるフォレンジック技術だけでは得られない証拠があること、またその証拠が事件の立証に極めて有益となる場合があることを伝えたいと思っていました。

齋藤：現場ではできるだけ多くのログが残っていた方が良いのでしょうか？

佐藤：もちろんその通りです。初期調査の段階では、何が痕跡として残っていて、どれが証拠になるか分かりません。この観点から、多くの痕跡が記録されていればされているほど、早期の原因究明につながる可能性が高くなります。EDRは、通常残っている痕跡以外にも別の形、もしくは詳細な形で痕跡を記録するため、導入していれば捜査に役立つことがあるかもしれません。

トレーニングを振り返って

齋藤：2日間のトレーニングを振り返っての苦労や感想を教えてください。

高松：受講者が気付きを得るための課題作り、これは難しかったですね。

白鳥：そうですね・・・シナリオに沿って、被害を受けたと分かる痕跡が残ったログを意図的に作成する作業が非常に大変でした。

佐藤：想定していない余計な痕跡が混じってしまうのが厄介でした。本来伝えたい内容からそれてしまう恐れもあったため、白鳥さんには3回ほど演習データを作り直してもらいました。

高松：3人とも受講者に満足してもらうコンテンツ作りに苦労しましたが、受講後のアンケートでは「資料が丁寧に作り込まれていた」「EDRを初めて触ったため、大変参考になった」等の感想を多く頂きました。
多くの受講者が気付きを得ることができたようで、講師一同、安心しました。

スペシャリストとしての、ラックの信念

本稿では、白浜シンポジウムのセキュリティ道場とはどういうものか、なぜラックが警察関係者向けトレーニングに協力しているのかをご紹介しました。インタビューを通して、ラックの社としての信念や、エンジニアたちの熱い思いが伝わったでしょうか。

サイバーセキュリティの世界における脅威の一つは、紛れもなく犯罪者の存在です。情報社会に生きる私たちはみな、日々脅威に対抗することを求められています。犯罪者を捕まえるべく、警察の捜査力を強化する。その支援を行うことが、ラックにできる社会貢献活動の一つだと考えています。

※ Endpoint Detection and Responseの略称。
不正な挙動の検知や、より詳細な操作ログ等の記録を通し、セキュリティインシデントに迅速に対応することを目的としたソリューション。