# フォレンジック機能を開発する
<a name="develop-forensics-capabilities"></a>

 セキュリティインシデントが発生する前に、セキュリティイベントの調査を支援するフォレンジック機能の整備を検討します。NIST の「[インシデント対応にフォレンジック手法を統合するためのガイド](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf)」にこのようなガイダンスが記載されています。

# AWS でのフォレンジック
<a name="forensics"></a>

 AWS には、従来のオンプレミスフォレンジックの概念が適用されます。ブログ記事「[Forensic investigation environment strategies in the AWS クラウド](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)」には、フォレンジックの専門知識を AWS に移行するための重要な情報が記載されています。

 フォレンジックのための環境と AWS アカウント構造が整ったら、次の 4 つのフェーズにわたってフォレンジックに適した方法論を効果的に実行するために必要なテクノロジーを定義することができます。
+ **収集** – AWS CloudTrail、AWS Config、VPC フローログ、ホストレベルのログなどの関連 AWS ログを収集します。AWS リソースのスナップショット、バックアップ、メモリダンプを収集します。
+ **調査** – 関連する情報を抽出して評価することにより、収集されたデータを検証します。
+ **分析** – 収集したデータを分析してインシデントを解明し、そこから結論を導き出します。
+ **レポート** – 分析フェーズから得られた情報を報告します。

# バックアップとスナップショットをキャプチャする
<a name="capture-backups-and-snapshots"></a>

 主要なシステムとデータベースのバックアップをセットアップすることは、セキュリティインシデントからの回復とフォレンジックのために重要です。バックアップを作成しておけば、システムを以前の安全な状態に復元できます。AWS では、さまざまなリソースのスナップショットを作成できます。スナップショットでは、こうしたリソースのポイントインタイムバックアップを作成できます。バックアップや復旧をサポートできる AWS のサービスは数多くあります。これらのサービスと、バックアップとリカバリのアプローチの詳細については、「[バックアップとリカバリの規範ガイダンス](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html)」を参照してください。詳細については、ブログ記事「[Use backups to recover from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/)」を参照してください。

 特にランサムウェアのような状況では、バックアップをしっかりと保護することが重要です。バックアップの保護に関するガイダンスについては、「[Top 10 security best practices for securing backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/)」を参照してください。バックアップの保護に加えて、バックアップと復元のプロセスを定期的にテストして、導入しているテクノロジーとプロセスが想定どおりに機能することを確認する必要があります。

# AWS でフォレンジックを自動化する
<a name="automate-forensics"></a>

 セキュリティイベント中、インシデント対応チームは、イベント前後の期間の証拠を、正確性を維持しながら迅速に収集して分析できなければなりません。インシデント対応チームにとって、クラウド環境内の関連する証拠を手作業で収集することは困難であり、時間もかかります。多数のインスタンスやアカウントが対象となる場合は特にそうです。さらに、手作業による収集では人為的ミスが起こりやすくなります。このような理由から、お客様はフォレンジックの自動化を開発し、実装する必要があります。

 AWS では、付録「[フォレンジックリソース](appendix-b-incident-response-resources.md#forensic-resources)」にまとめられているフォレンジックの自動化リソースを多数提供しています。これらのリソースは、当社が開発し、お客様が実装したフォレンジックパターンの例です。手始めに参考にするリファレンスアーキテクチャとしては有効かもしれませんが、環境、要件、ツール、フォレンジックプロセスに基に変更するか、新しいフォレンジック自動化パターンを作成することを検討してください。