元サイバー犯罪捜査官が手がける警視庁流「デジタル鑑識」提供開始 -サイバー被害の証拠を可視化-
合同会社デジタル鑑識研究所(所在地:千葉県松戸市、代表:中村健児)は、サイバーインシデント対応サービス「デジタル鑑識」の提供を4月1日(金)に開始いたしました。
提供開始の背景
デジタル鑑識とは
デジタル鑑識(デジタルフォレンジック)は、不正アクセスやマルウェアなどのサイバー攻撃によって情報漏洩やデータの破壊などが行われたときに、デジタルデータの証拠保全をするとともに、改ざん、毀損等についての調査、分析を行う一連の科学的調査手法ならびに技術です。
インシデント発生時の状況把握を支援
サイバー攻撃を受けた企業は、取引先や株主など関係者への説明、報道発表といった説明責任を果たす義務が生じます。また、関係機関への届出が必要になるほか、警察への相談や被害届の提出も考えなければなりません。これらの説明や報告、相談を行うためにまず必要なのが、起こった事象を正確に把握することです。
いつ、何が行われたのか、どれだけの情報が漏れたのか、または破壊されたのか、原因は何か、今後の対応はどうすべきか。
しかし、サイバー攻撃の痕跡は、デジタルデータとして残されるため目で見ることができません。それを科学的に可視化するのがデジタル鑑識です。
サイバー被害の増加とそれに伴うデジタル鑑識の必要性の高まり
ここ最近、国内企業や組織のサイバー被害の報道が相次いでいます。ランサムウェアによってファイルが暗号化され、企業活動に支障をきたすほか、情報が流出するといった被害です。今年2月からはEmotetと呼ばれるマルウェアの被害が急激な勢いで増加していますし、ロシアによるウクライナ侵攻を契機としたサイバー戦も懸念されています。
サイバー被害の拡大に伴ってデジタル鑑識の需要も高まっています。
しかし、情報セキュリティとデジタル鑑識では必要な知識や技能が異なるため、企業のシステム管理部門では対応しきれないことが少なくありません。また、中小企業ではシステム管理部門そのものを持たないところも多いでしょう。
そこで、警視庁のサイバー犯罪捜査官として数多くの事件を解決してきた当社代表の経験を活かし、デジタル鑑識事業に参入することとしました。
当社の特徴
元警察官としての経験
元サイバー犯罪捜査官としての経験から、お客さまに安心と信頼をご提供できると考えます。
【捜査実績と指導経験】
当社の代表は警視庁のサイバー犯罪捜査官として、自ら事件の捜査に携わるとともに、警察署に対する技術および捜査指導を行ってきました。その数は、合わせて100件以上にのぼります。
【厳格な秘密保持とコンプライアンスの遵守】
警察は守秘義務と法令遵守が生命線の組織です。
デジタル鑑識を行うということは、自社の情報セキュリティの脆弱性や機密情報を他者に提供することになります。そのため、デジタル鑑識の委託先選定もまた、情報セキュリティの重要な要素であるといえます。
警視庁で警視まで勤め上げた代表が、厳格なコンプライアンス遵守をお約束いたします。
【「ヨンパチ」で鍛えられたスピード感】
警察が犯人を逮捕したときは、48時間以内に検察官に送致しなければなりません。この時間制限を通称「ヨンパチ」といいます。
サイバー攻撃への対応は時間との闘いでもあります。事象の切り分け、被害範囲の特定、封じ込めといった一連の対応を一刻でも早く行わないと、事態は悪化の一途をたどります。
日々、ヨンパチの制限で鍛えられたスピード感は、緊急の対応が求められる重大事案にこそ力を発揮します。
【弁護士の法律業務を強力に支援】
サイバーインシデントは、そのほとんどが民事または刑事の法律問題につながります。法律を考慮しないデジタル鑑識では、ピントが外れた結果を出すことになり、再調査や質疑応答で余計な時間を費やすことになりかねません。
当社の代表は中央大学法学部卒業で、かつ警視庁で不正アクセス禁止法の解説を執筆するなど、サイバー関連法規にも精通しています。ツボを押えた調査で弁護士の法律業務や企業法務を強力に支援します。
「ログがないから無理」とは言いません
近頃のランサムウェアは攻撃の証拠となるログ(監査記録)を消去して事後の調査を妨害します。当社は、ログがない状態からの調査を得意としており、ログ以外の情報を縦横無尽に関連付けて攻撃の全容を明らかにします。
専門家ではない法律家や役員にも分かりやすい説明
サイバー犯罪捜査は、その結果を捜査報告書として検事や裁判官に説明する必要があります。専門用語をならべた報告ではコンピューター技術を専門としない法律家に理解してもらえません。
当社はその経験を活かし、弁護士や企業の経営判断を行う役員にも理解しやすい言葉で丁寧に説明を行います。
千葉県内唯一のデジタル鑑識事業者
これまで千葉県内にはデジタル鑑識を提供する事業者がありませんでした。当社は、千葉県内唯一のデジタル鑑識事業者として、千葉県内に所在する企業等の情報セキュリティ向上に貢献します。
その一環として「千葉県割」を設け、千葉県内に所在する企業ならびに弁護士事務所等からのご依頼を特別料金でご提供いたします。
料金
- デジタル鑑識(詳細コース) 100万円から
- デジタル鑑識(事案の概要コース) 40万円から*
- 重大性診断 2万円から
- 緊急対応 20万円から
- 報告会 15万円
*「事案の概要コース」
関係者への説明や広報対応に必要な概要をまとめたエグゼクティブサマリーのみの報告書を納品します。(調査は、詳細コースと同等の粒度で行います)
ご利用の流れ
インシデント発生(認知)
↓
ご相談・ヒアリング
(当社Webサイト内フォームまたは電話(047-707-3322)にて受付)
↓
証拠保全
↓
解析(通常7~10営業日)
↓
報告会
証拠保全でお願いしたいこと
【サイバー被害三則】
- 触るな(操作しない)
- 落とすな(電源はそのまま)
- 動かすな(アプリを起動させない)
【なぜ電源を落としてはいけないの?】
従来はサイバーインシデントを認知したらすぐに電源を切ることが推奨されていました。それはサイバー攻撃の証拠が主にハードディスクに残されていたからです。
しかし、近年のサイバー攻撃は、ファイルレスマルウェアや環境寄生型攻撃といった、ハードディスクに証拠を残さないものが多くなってきました。そのため、メモリー内に残ったサイバー攻撃の痕跡に頼ることになります。
メモリー内の情報は、電源を落とした瞬間に消えてなくなってしまいます。メモリー内の情報を保全するために、サイバー被害三則を実践していただき、できるだけ早く当社にご相談ください。
代表略歴
中村 健児(なかむら けんじ)
元警視庁警視、デジタルフォレンジックアナリスト、イベント総合研究所上級研究員
高卒で警視庁に入庁。
在職中、勤務の傍ら通信教育により中央大学法学部を卒業。
要人警護(SP)、経済事犯捜査、サイバー犯罪捜査等を担当。
警察庁主催「情報セキュリティアドバイザー専科」の第一期生としてトップレベルの研修を受ける。全国の警察から専門家である技官が集まる中、唯一の警察官として派遣された。
この研修では、主要なOSによるクラッキングとそれに対するディフェンスの演習を多数行った。
− サイバー犯罪捜査官としての主な実績 −
- カカクコム事件
- 警察庁キャリア技官による不正アクセス事件
- Yahoo!オークション詐欺検挙(全国初)
- 不正競争防止法違反事件(営業秘密開示の法改正のきっかけに)
- 警察ホームページへの虚偽告訴事件検挙
- 省庁のweb改ざん事件
- 警察署に対する捜査指導を担当
- 不正アクセス禁止法解説を執筆(警視庁内資料として)
- 警視庁主催、第1回サイバーセキュリティオープンカップ競技会において6位入賞
2020年に警視庁を退職後、デジタルフォレンジック技術をブラッシュアップするため、SANSのFOR508**を修了。
サイバー犯罪捜査のほか、警視庁初のTwitterアカウントを開設し運営。「ツイッター警部」としてフォロワーに親しまれた。2021年に著書「中の人は駐在さん ツイッター警部が明かすプロモーション術」(翔泳社)を上梓。
** SAN FOR508: SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立された組織(本部:米国ワシントンDC)。FOR508は、インシデントレスポンスと脅威のハンティングを徹底的に取り扱うトレーニングコース。APTのような国家敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内の様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルの習得を目的とする。