フォレンジックと IR
DFIR(デジタルフォレンジックとインシデントレスポンス)
別称: デジタル証拠調査と対応
定義
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
DFIR チームはセキュリティインシデントの発生中および発生後に活動し、事実関係の把握、影響範囲の特定、攻撃者の排除、そして証拠能力のある所見の作成を行います。手順は、インシデント対応の NIST SP 800-61 と、証拠取扱いの NIST SP 800-86 / ISO/IEC 27037 に整合し、必要に応じて EDR クエリや KAPE・Velociraptor によるトリアージ収集などのライブレスポンスと、完全な取得(イメージング)を組み合わせます。アナリストはエンドポイント・メモリ・ネットワーク・クラウドのテレメトリを横断し、MITRE ATT&CK にマッピングした TTP を再構成します。成果物は IoC、根本原因、改善ガイダンス、検知と予防を強化する教訓です。
例
- ランサムウェア発生後に DFIR リテイナーを発動し、Velociraptor でトリアージ、主要ホストをイメージ化、封じ込め計画を策定。
- エンドポイントとクラウドログを横断して APT 侵入を再構成し、初期侵入と横展開を特定。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
インシデント対応計画
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。