NISTのクラウドフォレンジックス法科学チャレンジ報告書(NISTIR 8006)をみていきたいと思います。表紙は、こんな感じです。

序 NISTIR 8006の背景

NISTのフルの名称は、National Institute of Standards and Technologyで、米国国立標準技術研究所といわれています。そこでは、FIPS ( Federal Information Processing Standard)、SP ( NIST Special Publications)、NISTIR( NIST Internal or Interagency Report)、ITL Bulletin ( NIST Information Technology Laboratory (ITL) Bulletins)が刊行されています。特に、SP800シリーズ(情報セキュリティマネジメント、リスクマネジメント、情報セキュリティ技術、情報セキュリティの要件を満たす管理策、情報セキュリティのソリューション、情報セキュリティの対策状況を評価する指標、情報セキュリティ教育、インシデント対応など)は、有名です。

このあたりは、NTTデータ「NIST（米国標準技術研究所）とセキュリティ（その1）～概要編～」でまとまっています。

デジタル証拠本をアップデートするのにあたり、フォレンジックス関係を洗い直しすることになったのですが、そこで、クラウドについての標準の進化とししては、この報告書が公表されているので、それをフォローしたいと思います。

NISTIRですが、NISTの説明によると

NIST Internal or Interagency Reports (NISTIRs)は、専門的な読者にとって興味深い技術的な性質の研究を記述したものです。このシリーズには、NISTが外部スポンサー（政府及び民間）のために実施した作業に関する中間報告書や最終報告書が含まれます。NISTIRsは、より包括的な形で後日出版されるものを含め、一時的または限定的な関心を持つNISTプロジェクトの結果も報告することがあります。 このリストには、コンピュータ／サイバー／情報セキュリティおよびプライバシー関連のNISTIRが含まれます。

NIST クラウドコンピューティングプログラム（NCCP）

NIST は、その使命に基づき、米国政府（USG）がコスト削減とサービス向上のためにクラウドコンピューティング技術を安全かつ効果的に採用することを支援する多くの仕組みをNIST クラウドコンピューティングプログラム（NCCP）として、プロセス、実務、標準を開発しています。

このプログラムの進展としては

• • クラウドコンピューティングの定義
  • 参照アーキテクチャア(SP500-292)
  • 参照アーキテクチャア(SP500-332)

などがあります。そのひとつが、NIST クラウドコンピューティング標準ロードマップ  (ver1は、2011年、ver2は013年)です。

標準化は、費用対効果の高い容易な移行を保証し、ミッションクリティカルな要件を満たすことを保証し、多額の投資が技術的に早期に陳腐化するリスクを低減するために不可欠です。標準は、グローバル市場で公平な競争条件を確保するために必要な重要な要素である。民間企業の関与と密接に関連した標準の設定の重要性は、2012 年 1 月 17 日付の行政管理予算局（OMB） の覚書 M-12-08で強調されています。

クラウドへのフォレンジック科学の適用の必要性

クラウドコンピューティング技術の急速な普及に伴い、この領域へのデジタルフォレンジック科学の適用の必要性が生じているとされ、それで、この報告書が準備されました。

1 報告書の構成

この報告書は、

1. 序
2. 概観
3. クラウドフォレンジックの課題
4. 課題の追加分析
5. 結論

から成り立っており、それに付録等がふされています。付録では、65の課題があげられて、分類されています。

2 報告書の目的・対象

この文書は、クラウドエコシステムにおけるフォレンジックサイエンスの懸念に関する対話の基礎として、また、クラウドコンピューティングコミュニティがこれらの課題を軽減できる技術や標準を特定できるようにすることを意図して、これらの懸念（課題）を理解する出発点として機能することを意図しています(1.1)。そして、直接には、デジタルフォレンジック検査官、開発者、研究者、クラウドセキュリティの専門家、法執行機関、およびクラウド監査役を読者としています(1.2)。

フォレンジックサイエンスの妥当性と信頼性は、この新しい状況において極めて重要であり、迅速なプロビジョニング、グローバルな弾力性、幅広いネットワークアクセスを提供するマルチテナントクラウド環境における証拠の特定、収集、保存、分析のための新しい方法論を必要としています。これは、米国の刑事司法および民事訴訟システムをサポートするだけでなく、セキュリティインシデント対応や企業内部の運用のための機能を提供するためにも必要です。

3 具体的なクラウドへのフォレンジック科学の適用プロセス

同報告書では、

1. 調査権限データの捜索および/または押収を行うには、法的権限が必要である。
2.  チェーン・オブ・カストディ（Chain of Custody）。証拠改ざんや不正行為などの疑惑を避けるため、証拠品へのアクセスや取り扱いを時系列で記録することが必要である。
3.  画像処理／ハッシュ化機能。デジタル証拠となりうるものを発見した場合、慎重に複製し、そのコピーの完全性を検証するためにハッシュ化する必要があります。
4. 検証済みツール。可能な限り、フォレンジックに使用するツールは、信頼性と正確性を確保するために検証されるべきです。
5.  分析 フォレンジック分析とは、調査・分析技術を実行し、取り出した証拠となる人工物を調査、分析、解釈することである。
6. 反復性と再現性（Quality assurance）。法医学的分析の手順と結論は、同一または他の法医学的分析者によって反復可能であり、再現可能でなければならない[6]。
7. 報告。フォレンジック分析者は、他の者が利用できるように、分析手順と結論を文書化しなければならない。
8.  発表。ほとんどの場合、フォレンジック・アナリストは、裁判所または他の聴衆に対して、所見と結論 を発表することになる。

のプロセスを明らかにして、それらが、クラウドにおいても適用されなければならないとしています。そして、それらは、課題に直面する(チャレンジ)ことであるとしています。

このチャレンジは、

1. 技術的
2. 法的
3. 組織的

なものであり、クラウド環境であることにってユニークであったり、誇張されたりすると整理しています。

4 具体的な課題

同報告書の3章は、具体的な分析とそれによって得られた課題をあげています。分析手法について 課題の収集と集計方法(Collection and Aggregation)(3.1)、クラウドの特徴との関連性分析(3.2.1)、技術と課題との相関(3.2.2)などとともに具体的な課題がカテゴリーごとに整理されています(3.2.3)。

アーキテクチャ（例：多様性、複雑性、出所、マルチテナンシー、データ分離）。

クラウドフォレンジックにおけるアーキテクチャの課題には、以下のものがあります。

• プロバイダー間のクラウドアーキテクチャのばらつきへの対応
• リソースプロビジョニング時のテナントデータの区分けおよび分離
•  データを保存できるシステム、場所、エンドポイントの急増
•  CoC（Chain of Custody）を維持・保存するための正確かつ安全な出所管理

 データ収集（例：データの完全性、データ回復、データロケーション、イメージング）。

データ収集クラウドフォレンジックにおける課題には、以下のものがあります。

• 大規模、分散、動的なシステムにおけるフォレンジック・アーティファクトの位置特定
• 揮発性データの特定と収集
• 仮想マシンからのデータ収集
• データが複数の場所の複数のコンピュータで共有され、複数の関係者がアクセスできるマルチテナント環境におけるデータの完全性
• 複数の場所にある複数のコンピュータで共有され、複数の関係者がアクセスできるマルチテナント環境におけるデータの完全性
•  クラウド上のすべてのフォレンジック・アーチファクトをイメージ化することが不可能
• 他のテナントの機密性を侵害することなく、あるテナントのデータにアクセスすること
• 共有・分散された仮想環境における削除されたデータのリカバリ

分析（例：相関、再構築、時間同期、ログ、メタデータ、タイムライン)。

クラウドフォレンジックにおける解析の課題は以下の通りです。

• クラウドプロバイダー間およびプロバイダー内のフォレンジックアーティファクトの相関関係
• 仮想イメージまたはストレージからのイベントの再構築
• メタデータの整合性
• タイムスタンプの同期を含むログデータのタイムライン分析

アンチ・フォレンジック（難読化、データ隠蔽、マルウェアなど）。

アンチフォレンジックとはフォレンジック分析を阻止したり、誤認させたりするために特別に使用される技術のセットです。アンチフォレンジックの課題
クラウドフォレンジックにおける課題は以下の通りです。

• 難読化、マルウェア、データ隠蔽、またはその他の技術を使用して、証拠の完全性を危うくすること。
• マルウェアが仮想マシンの分離方法を回避する可能性

 インシデントの初動対応者（例：クラウドプロバイダの信頼性、対応時間、再構築）。

クラウドフォレンジックにおけるインシデント初動者の課題には以下のものがあります。

•  クラウドプロバイダーが第一応答者として行動し、データ収集を行うための信頼性、能力、および信用性
• クラウドプロバイダーの信頼性、能力、データ収集
•  初期トリアージの実行の困難さ
• 収集された大量のフォレンジックアーティファクトの処理

役割管理（例：データ所有者、ID管理、ユーザー、アクセス制御）。

クラウドフォレンジックにおける役割管理の課題には、以下のものがあります。

• アカウントの所有者の一意な特定
• クラウドユーザーのクレデンシャルと物理的なユーザーとの間のデカップリング
• 匿名性とオンライン上での架空IDの作成が容易であること
• データの正確な所有者の特定
• 認証とアクセス制御

法的事項（例：管轄区域、法律、サービスレベル契約、契約、提出命令、国際協力、プライバシー、倫理）。

クラウドフォレンジックにおける法的課題には以下のものがある。

• データへの法的アクセスに関する司法権の問題の特定と対処
• 捜査中の国際的なコミュニケーションと協力のための効果的なチャンネルの欠如。
•  クラウドプロバイダーの能力および信頼性ならびに協力に依存する
•  契約やサービスレベル契約における条項の欠落
•  データの物理的な場所を知らずに召喚状を発行すること

 標準（例：標準作業手順、相互運用性、テスト、検証）。

クラウドフォレンジックにおける標準化の課題は以下の通りです。

• 最低限/基本的なSOP、プラクティス、ツールの欠如
• クラウドプロバイダー間の相互運用性の欠如
• テストとバリデーションの手順の欠如

 トレーニング（例：フォレンジック調査員、クラウドプロバイダー、資格、認証）。

クラウドフォレンジックにおけるトレーニングの課題は以下の通りです。

• クラウドフォレンジックに適用されないデジタルフォレンジックトレーニング教材の誤用
• 調査官とインストラクターの両方に対するクラウド・フォレンジックのトレーニングと専門知識の不足
• クラウドプロバイダーにおける記録管理担当者の証拠に関する知識が限定的であること。

があげられています。

5 追加の分析

上記の課題以外にも

クラウドエコシステムでは、

• ITシステムの分散-機能レイヤーに対する制御は、クラウドサービスモデルによって、クラウドアクター間で異なること
• 調査官は、フォレンジック・アーティファクトに対する可視性と制御のレベルが低くなっていること
• があげられています。

これによって証拠収集に限界が生じうることがあることが論じられています。このようなログの例としては、監査ログ、セキュリティログ、およびアプリケーションログの3つがあります。さらにクラウド製品のログデータの量や質は、クラウド事業者や消費者が設定できる場合が多いため、さらに多様性と複雑性が増しているどされています。

ログ形式の違い、異なるレイヤー間でのログの分散、ログへのアクセス性の欠如、クラウドのマルチテナンシー性、およびChain of Custodyを維持する必要性などが、クラウドにおけるログ分析を困難なものにしています。さらに、ハイパーバイザーにおけるログの使用は十分に理解されておらず、クラウド・フォレンジックにとって大きな課題となっています。

とされています。また、メディアの特定、収集、保存には、さらにクラウドコンピューティング環境では特に困難な場合があるとされており、これらの課題に対処するために、標準と技術を開発する必要があるとされています。

6感想

クラウドのフォレンジックスは、2010年代前半にきわめて問題であるという認識がなされて、そのさいにはいろいろと議論されたのですが、結局、一般のフォレンジンクスがデータを分析して、それをツールで確認するという手法が標準的に確立されたのに対して、クラウドでは、いまだにそのような標準的な手法が確立しているようには見えないところです。この報告も、課題をあげていますが、それに対して、具体的な標準的な解決方法を提唱するというものではなくて、なお、解決は、今後の課題であるという感じに思えます。

政府の重要なデータ処理をクラウドで行うといっても、この点についての課題の解決がみれないとなかなか難しいところがあるように個人的には思えたりしています。