フォレンジックと IR
クラウドフォレンジック
別称: クラウドインシデントフォレンジック, SaaS フォレンジック
定義
クラウド上のインフラ・アプリ・SaaS を対象に、プロバイダ API、監査ログ、揮発性リソースを活用して行うフォレンジック調査。
クラウドフォレンジックは伝統的な原則を、マルチテナント・エラスティック・API 駆動の環境に適応させます。調査者はクラウドプロバイダの監査ログ(AWS CloudTrail、Azure Activity/Sign-in、Google Cloud Audit Logs)、コントロールプレーンのイベント、ID プロバイダのログ(Entra ID、Okta)、VPC Flow Logs、ストレージアクセスログを、EC2/Compute インスタンスや Kubernetes ノードのゲストレベル証拠と組み合わせます。取得手段には EBS/マネージドディスクのスナップショット、オブジェクトストレージのエクスポート、SSM/AVML を通じた稼働中インスタンスからのメモリ取得があります。責任共有モデルの境界、データレジデンシー、ログ保管の不足、リソース即時削除などが課題で、NIST IR 8006、ISO/IEC 27050、CSA のガイダンスが再現可能な手順を支えます。
例
- CloudTrail を辿って AWS アカウント侵害を盗まれた IAM アクセスキーまで遡る。
- Azure VM ディスクのスナップショットと Run Command によるライブメモリ取得を組み合わせて解析。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
Log Analysis
Log Analysis — definition coming soon.
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。