この記事では、法的要求に応じて有効な証拠保全 (CoC) を示すデジタル証拠をチームが提供できるようにするためのインフラストラクチャとワークフロー プロセスについて説明します。 また、これにより、証拠の取得、保存、アクセスのプロセス全体を通じた有効な CoC を示します。
Note
この記事は、著者の理論的および実践的な知識に基づいています。 法的な目的で使用する前に、その適用性を法務部門と検証してください。
Architecture
このアーキテクチャ設計は、Azure 向けのクラウド導入フレームワークに関するページで説明されている Azure ランディング ゾーンの原則に従っています。
このシナリオでは、次の図に示すように、ハブアンドスポーク ネットワーク トポロジを使います。
このアーキテクチャの Visio ファイルをダウンロードします。
ワークフロー
このアーキテクチャでは、運用環境仮想マシン (VM) はスポーク Azure 仮想ネットワークの一部です。 ディスクは Azure Disk Encryption で暗号化されています。 詳細については、「マネージド ディスク暗号化オプションの概要」を参照してください。 運用環境サブスクリプションでは、Azure Key Vault に VM の BitLocker 暗号化キー (BEK) が格納されます。
Note
このシナリオは、暗号化されていないディスクを持つ運用環境 VM で機能します。
システムおよび組織管理 (SOC) チームは、個別の Azure SOC サブスクリプションを使います。 このチームは、保護、不可侵、監視を維持する必要があるリソースを含むサブスクリプションに排他的にアクセスできます。 SOC サブスクリプションの Azure Storage アカウントは、ディスク スナップショットのコピーを不変 BLOB ストレージにホストし、専用のキー コンテナーはスナップショットのハッシュ値と VM の BEK のコピーを保持します。
VM のデジタル証拠のキャプチャ要求に応答して、SOC チーム メンバーは Azure SOC サブスクリプションにサインインし、Automation の Azure Hybrid Runbook Worker VM を使用して Copy-VmDigitalEvidence Runbook を実装します。 Automation のハイブリッド runbook worker は、取り込みに関連するすべてのメカニズムの制御を提供します。
Copy-VmDigitalEvidence Runbook は、次のマクロ手順を実行します。
- Automation アカウントのシステム割り当てマネージド ID を使って Azure にサインインし、ターゲット VM のリソースと、ソリューションで必要なその他の Azure サービスにアクセスします。
- VM のオペレーティング システム (OS) とデータ ディスクのディスク スナップショットを作成します。
- そのスナップショットを SOC サブスクリプションの不変 BLOB ストレージと一時ファイル共有にコピーします。
- ファイル共有上のコピーを使ってスナップショットのハッシュ値を計算します。
- 取得したハッシュ値と VM の BEK を SOC キー コンテナーにコピーします。
- スナップショットのすべてのコピーをクリーンアップします。ただし、不変 BLOB ストレージ内のものは除きます。
Note
運用環境 VM の暗号化ディスクには "キー暗号化キー" (KEK) を使うこともできます。 デプロイ シナリオで提供される Copy-VmDigitalEvidence Runbook は、この使用に対応していません。
コンポーネント
- Azure Automation は、頻繁に発生し、時間がかかり、エラーが発生しやすいクラウド管理タスクを自動化します。
- Storage は、オブジェクト、ファイル、ディスク、キュー、テーブルのストレージを含むクラウド ストレージ ソリューションです。
- Azure Blob Storage には、大量の非構造化データを管理する最適化されたクラウド オブジェクト ストレージが用意されています。
- Azure Files 共有。 ファイル共有は、クラウドまたはオンプレミスにデプロイされた Windows、Linux、macOS で同時にマウントできます。 また、Azure File Sync で Azure ファイル共有を Windows Server にキャッシュして、データが使われる場所の近くからすばやくアクセスできます。
- Azure Monitor は、リソースのパフォーマンスと可用性を最大化し、問題を事前に特定できるようにサポートすることで、大規模な運用をサポートします。
- Key Vault は、クラウド アプリやサービスで使われる暗号化キーやその他のシークレットの保護に役立ちます。
- Microsoft Entra ID は、Azure およびその他のクラウド アプリへのアクセスの制御に役立つクラウドベースの ID サービスです。
Automation
SOC チームは、Automation アカウントを使って、Copy-VmDigitalEvidence Runbook を作成し、管理します。 また、チームは Automation を使用して、Runbook を実行する Hybrid Runbook Worker を作成します。
Hybrid Runbook Worker
Hybrid Runbook Worker VM は、Automation アカウントの一部です。 SOC チームは、この VM のみを使用して Copy-VmDigitalEvidence Runbook を実装します。
ハイブリッド runbook worker VM は、ストレージ アカウントにアクセスできるサブネットに配置する必要があります。 ストレージ アカウントのファイアウォール許可リスト ルールに Hybrid Runbook Worker VM サブネットを追加して、ストレージ アカウントへのアクセスを構成します。
この VM へのアクセスは、メンテナンス作業を行う SOC チーム メンバーにのみ許可する必要があります。
VM で使用されている仮想ネットワークを分離するには、その仮想ネットワークをハブに接続しないでください。
ハイブリッド runbook worker は、Automation のシステム割り当てマネージド ID を使って、ターゲット VM のリソースとソリューションが必要とするその他の Azure サービスにアクセスします。
システム割り当てマネージド ID に割り当てる必要がある最小限のロールベースのアクセス制御 (RBAC) アクセス許可は、次の 2 つのカテゴリに分類されます。
- ソリューションのコア コンポーネントを含む SOC Azure アーキテクチャへのアクセス許可
- ターゲット VM リソースを含むターゲット アーキテクチャへのアクセス許可
SOC Azure アーキテクチャへのアクセスには、次のロールが含まれます。
- SOC 不変ストレージ アカウントのストレージ アカウント共同作成者
- BEK 管理のための SOC キー コンテナーのキー コンテナー シークレット責任者
ターゲット アーキテクチャへのアクセスには、次のロールが含まれます。
- VM ディスクのスナップショット権限を提供するターゲット VM のリソース グループの共同作成者
- RBAC がキー コンテナーに使用されている場合のみ、BEK の格納に使用されるターゲット VM のキー コンテナーの Key Vault Secrets Officer
- Key Vault のアクセス ポリシーを使用する場合のみ、BEK の格納に使用されるターゲット VM のキー コンテナーでシークレットを取得するためのアクセス ポリシー
Note
BEK を読み取るには、ハイブリッド runbook worker VM からターゲット VM のキー コンテナーにアクセスできる必要があります。 キー コンテナーでファイアウォールが有効な場合は、ハイブリッド runbook worker VM のパブリック IP アドレスがファイアウォールで許可されていることを確認します。
Azure Storage アカウント
SOC サブスクリプションの Azure Storage アカウントは、Azure 不変 BLOB ストレージとして "訴訟ホールド" ポリシーで構成されたコンテナー内のディスク スナップショットをホストします。 不変 BLOB ストレージでは、ビジネス クリティカルなデータ オブジェクトが "書き込み 1 回、読み取り複数回" (WORM) 状態で保存され、ユーザーの指定期間、データを消去および編集できなくなります。
安全な転送とストレージ ファイアウォールのプロパティを必ず有効にしてください。 ファイアウォールは SOC 仮想ネットワークからのアクセスのみを許可します。
ストレージ アカウントは、スナップショットのハッシュ値を計算するための一時リポジトリとして、Azure ファイル共有もホストします。
Azure Key Vault
SOC サブスクリプションは Key Vault の独自のインスタンスを持っており、Azure Disk Encryption がターゲット VM を保護するために使う BEK のコピーをホストしています。 プライマリ コピーは、ターゲット VM が使うキー コンテナーに保持されるため、ターゲット VM は通常の動作を継続できます。
SOC キー コンテナーには、ハイブリッド runbook worker が取り込み操作中に計算したディスク スナップショットのハッシュ値も含まれます。
キー コンテナーでファイアウォールが有効なことを確認します。 これにより、SOC 仮想ネットワークからのアクセスのみが許可されます。
Log Analytics
Log Analytics ワークスペースには、SOC サブスクリプション上のすべての関連イベントを監査するために使われるアクティビティ ログが保存されます。 Log Analytics は Monitor の機能です。
シナリオの詳細
デジタル フォレンジクスは、犯罪調査や民事訴訟を支援するためにデジタル データの復旧と調査に取り組む科学です。 コンピューター フォレンジクスは、コンピューター、VM、デジタル ストレージ メディアからデータを取り込んで分析するデジタル フォレンジクスの 1 つの分野です。
企業は、法的要求に応じて提供するデジタル証拠において、証拠の獲得、保存、およびアクセスのプロセス全体を通じて有効な CoC が示されていることを保証する必要があります。
考えられるユース ケース
- 企業のセキュリティ オペレーション センター チームは、この技術的なソリューションを実装して、デジタル証拠に対する有効な CoC をサポートできます。
- 調査担当者は、この手法で取得したディスク コピーをフォレンジック分析専用のコンピューターにアタッチできます。 元のソース VM の電源を入れたり、アクセスしたりすることなく、ディスク コピーをアタッチできます。
CoC 規制コンプライアンス
提案されたソリューションを規制コンプライアンス検証プロセスに提出する必要がある場合は、CoC ソリューション検証プロセス中に「考慮事項」セクションの資料を検討してください。
Note
検証のプロセスには法務部門を関与させる必要があります。
考慮事項
このセクションでは、このソリューションを CoC として検証するための原則について説明します。
有効な CoC を確保するには、デジタル証拠の保存において、適切なアクセス制御、データの保護と整合性、監視とアラート、およびログ記録と監査が示されている必要があります。
セキュリティ標準と規制のコンプライアンス
CoC ソリューションを検証するとき、評価すべき要件の 1 つはセキュリティ標準と規制のコンプライアンスです。
アーキテクチャに含まれるコンポーネントはすべて、信頼、セキュリティ、コンプライアンスをサポートする基盤に基づいて構築された Azure 標準サービスです。
Azure は、国やリージョンに固有の認定や、医療、政府、金融、教育などの主要な業界に特化した認定など、幅広いコンプライアンス認定を獲得しています。
このソリューションで採用されているサービスの標準コンプライアンスに関する情報を含む最新の監査レポートについては、Service Trust Portal を参照してください。
Cohasset の Azure Storage: SEC 17a-4(f) と CFTC 1.31(c)-(d) コンプライアンス評価では、次の要件について詳しく示されています。
- 17 CFR § 240.17a-4(f) の証券取引委員会 (SEC)。証券取引メンバー、ブローカー、ディーラーを規定しています。
- 金融取引業規制機構 (FINRA) 規則 4511(c)。SEC 規則 17a-4(f) の形式とメディア要件に従います。
- 規制 17 CFR § 1.31(c)-(d) の商品先物取引委員会 (CFTC)。商品先物取引を規制しています。
Cohasset の意見として、ストレージ (BLOB ストレージの不変ストレージ機能とポリシー ロック オプション付き) は、消去不可能で書き換え不可能な形式で時間ベースの BLOB (レコード) を保持し、SEC Rule 17a-4(f)、FINRA Rule 4511(c) の該当するストレージ要件や、CFTC Rule 1.31(c)-(d) の原則に基づく要件を満たしています。
最小特権
SOC チームのロールが割り当てられたら、サブスクリプションとそのデータの RBAC 構成を変更する権限を持つ必要があるのは、チーム内の 2 人だけです。 他のユーザーには、作業を実行するために必要なデータ サブセットへの最小限のアクセス権のみを付与します。 Azure RBAC でアクセスを構成して適用します。
最小アクセス
SOCサブスクリプション内の仮想ネットワークのみが、SOC ストレージ アカウントと、証拠をアーカイブするキー コンテナーにアクセスできます。
SOC ストレージへの一時的なアクセスは、証拠へのアクセスを必要とする調査担当者に提供されます。 承認された SOC チーム メンバーはアクセス権を付与できます。
証拠の獲得
Azure 監査ログでは、誰が、いつ、スナップショットを取ったかといった要素と共に、VM ディスクのスナップショットを取るアクションを記録することで、証拠の獲得を示すことができます。
証拠の整合性
Automation を使用して、人間の介入なしに証拠を最終的なアーカイブ先に移動することで、証拠のアーティファクトが変更されていないことが保証されます。
保存先のストレージに訴訟ホールド ポリシーを適用した場合、証拠は書き込まれた時点で凍結されます。 訴訟ホールドは、CoC が Azure で完全に維持されたことを示します。 また、訴訟ホールドは、ディスク イメージがライブ VM に存在してから、ストレージ アカウントに証拠として追加されるまでの間に、証拠が改ざんされる機会がなかったことも示します。
最後に、提供されたソリューションを整合性メカニズムとして使って、ディスク イメージのハッシュ値を計算することができます。 サポートされているハッシュ アルゴリズムは、MD5、SHA256、SKEIN、KECCAK (または SHA3) です。
証拠の運用
調査担当者は分析を実行するために証拠にアクセスする必要があり、このアクセスは、追跡され、明示的に承認される必要があります。
調査担当者に、証拠にアクセスするための共有アクセス署名 (SAS) URI ストレージ キーを提供します。 SAS URI を使用すると、SAS の生成時に関連するログ情報を生成できます。 また、SAS が使われるたびに証拠のコピーを取得することもできます。
アクセスを必要とする調査担当者の IP アドレスをストレージ ファイアウォールの許可リストに明示的に配置する必要があります。
たとえば、法務チームが保存された仮想ハード ドライブ (VHD) を転送する必要がある場合、2 人の SOC チームの保全管理者のうち 1 人が、8 時間後に有効期限が切れる読み取り専用の SAS URI キーを生成します。 SAS は、調査担当者の IP アドレスへのアクセスを特定の期間に制限します。
最後に、調査担当者が暗号化されたディスク コピーにアクセスするには、SOC キー コンテナーに保管されている BEK が必要です。 SOC のチーム メンバーは BEK を取り出し、セキュリティ チャネルを通じて調査担当者に提供する必要があります。
リージョンでの保存
コンプライアンスを確保するために、一部の標準または規制では、証拠とサポート インフラストラクチャが同じ Azure リージョンに保持されることが求められます。
証拠をアーカイブするストレージ アカウントを含むすべてのソリューション コンポーネントは、調査対象のシステムと同じ Azure リージョンでホストされます。
オペレーショナル エクセレンス
オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。
監視とアラート
Azure では、サブスクリプションとリソースに関する異常を監視してアラートを通知するサービスがすべてのお客様に提供されます。 これらのサービスには、次のようなものがあります。
Note
この記事では、これらのサービスの構成については説明しません。
このシナリオのデプロイ
CoC のラボ デプロイの手順に従って、このシナリオをラボ環境でビルドしてデプロイします。
ラボ環境は、この記事で説明されているアーキテクチャを簡略化したものになります。 同じサブスクリプション内に 2 つのリソース グループをデプロイします。 最初のリソース グループはデジタル証拠を収容する運用環境をシミュレートし、2 つ目のリソース グループは SOC 環境を保持します。
SOC リソース グループのみを運用環境にデプロイするには、次のボタンを使います。
Note
このソリューションを運用環境にデプロイする場合は、Automation アカウントのシステム割り当てマネージド ID に次のアクセス許可があることを確認します。
- 処理する VM の運用リソース グループ内の共同作成者。 このロールはスナップショットを作成します。
- BEK を保持する運用キー コンテナー内の Key Vault シークレット ユーザー。 このロールは BEK を読み取ります。
また、キー コンテナーでファイアウォールが有効になっている場合は、Hybrid Runbook Worker VM のパブリック IP アドレスがファイアウォールの通過を許可されていることを確認してください。
拡張構成
ハイブリッド runbook worker は、オンプレミスまたは異なるクラウド環境にデプロイできます。
このシナリオでは、Copy-VmDigitalEvidence Runbook をカスタマイズして、さまざまなターゲット環境で証拠の取り込みを有効にし、それらをストレージにアーカイブできます。
Note
「このシナリオのデプロイ」セクションで提供されている Copy-VmDigitalEvidence Runbook は、Azure でのみ開発およびテストされています。 他のプラットフォームにソリューションを拡張するには、それらのプラットフォームで機能するように Runbook をカスタマイズする必要があります。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパルの作成者:
- Fabio Masciotra | 主席コンサルタント
- シモーネ サヴィ | シニア コンサルタント
パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。
次のステップ
Azure のデータ保護機能の詳細については、以下を参照してください。
Azure のログと監査の機能の詳細については、以下を参照してください。
Microsoft Azure コンプライアンスの詳細については、以下をご覧ください。