【日本媒體 ScanNetSecurity 轉載】數位鑑識調查生產力提升 2 至 4 倍 CyCraft Japan 以 AI 鑑識技術緩解日本市場供給不足

※本文譯自日本網路安全專業媒體 《ScanNetSecurity》報導：〈デジタルフォレンジック調査の生産性を 2 倍から 4 倍に ～ CyCraft Japan、AI フォレンジックで日本市場の供給不足解消へ〉。完整原文請參考：《ScanNetSecurity》2026 年 2 月 25 日。

對‍於身處事件回應（Incident Response，下稱 IR）第一線的服務提供商來說，無力感正逐漸蔓延。

奧義賽博日本子公司株式会社 CyCraft Japan 的 Country Manager 姜尚郁（Sangwook Kang）指出：「技術也有，人才也有。但對於遭受網路攻擊的企業提出的數位鑑識調查委託，服務提供商卻只能處理其中極少的一部分。」

實際上，許多大型資安企業在面對鑑識調查需求時，不得不回覆「目前人力已滿」、「請等到下個月或半年後」——這已成常態。

此狀況的原因其實非常明確：一次數位鑑識調查平均需要約一週時間才能完成一台設備的分析。無論技術人員多麼優秀，一個人能同時處理的專案數量仍然有限。這導致 IR 服務提供商每年最多只能處理約 50 例案件。在日本，網路攻擊事件早已日常化，需求不斷增加，但供給卻無法提升，也難以擴張。這種結構性的矛盾對遭受勒索軟體等攻擊的企業造成巨大壓力。

姜尚郁正試圖從根本改變這個現狀：「我希望所有提供 IR 服務的企業，都能把 CyCarrier 當作預設工具使用。」目前，他以 AI 驅動的數位鑑識工具 CyCarrier 為核心，致力於為日本 IR 市場樹立新的產業標準。

‍

‍

數位鑑識面臨的結構性極限

「數位鑑識（Digital Forensics）」是指在網路攻擊發生後，針對事件原因與影響範圍進行調查。只有在確認入侵路徑並掌握完整損害情況後，企業才能制定防止再次發生的對策，也才能向合作夥伴或監管機關履行說明責任。

然而，傳統的鑑識方法存在極限。首先需要從受害設備取出硬碟，使用專用設備製作完整的磁碟映像（約半天）。之後再使用 EnCase 或 FTK 等專業工具進行分析（至少 1 天以上），並根據取得的資訊重建攻擊者行動。每台設備約需 1 週時間，大規模調查的成本從數千萬日圓到甚至超過 1 億日圓都並不罕見。

另一個本質問題在於，對遭受攻擊的組織進行「全端點調查」在現實上幾乎不可能。如果 1,000 台設備每台都需要約 1 週調查，單純計算就需要約 19 年。即使同時進行，時間與成本仍然十分龐大。因此企業往往只能挑選最可疑的幾台設備進行調查，其餘設備則被排除在調查範圍之外。

最嚴重的問題則是人才不足。鑑識技術人員的數量遠遠不足，即使委託專門企業，也經常被告知「目前人力不足」或「需要等待數個月甚至半年」。

姜尚郁指出：「只要調查仍然以人工為主導，一名技術人員能處理的專案數量就有限。形成了即使需求增加、客戶前來諮詢，也因無法接單而導致營收無法成長的結構。」‍

‍

以 AI 改變數位鑑識的速度和範圍

CyCraft 開發的 CyCarrier 正是用來打破這種結構性限制的工具。

CyCarrier 最大特點是大幅提升調查速度。根據 Frost & Sullivan 的白皮書，一家全球前四大的無晶圓半導體企業在併購前的資安審查中導入 CyCarrier 後，原本需要數個月的調查在短短數天內就完成，調查時間縮短了 99% 以上，成本與人力也減少了 95% 以上。

實現這種速度的關鍵在於 CyCraft 自創業初期以來持續投入的 AI 技術。如今攻擊者已經開始利用 AI 發動攻擊，防禦方也同樣開始使用 AI。然而仍有一個領域 AI 尚未充分滲透，那就是 IR 與事後鑑識 (Post Forensics)。

CyCarrier 會自動從所有端點收集資訊，由 AI 進行優先排序與分析，最後再由技術人員進行最終判斷。這不只是效率提升，而是對「鑑識新方法」的一種提案。

在某次企業調查案例中，CyCarrier 掃描了總計 2,456 台設備，分析了 81,517,371 個檔案。整體調查耗時 19 天。若以傳統方法進行同樣規模的調查，簡單計算約需 47 年（1 週 × 2,456 台＝17,192 天 ÷ 365＝47.1 年）。在這些龐大的資料中，CyCarrier 最終識別出真正高風險的 41 台設備，僅佔整體約 1.7%。

‍

‍

‍

‍

‍CyCarrier 另一個差異化優勢在於「回溯過去」的能力。許多 EDR 只能收集導入之後的資料，而 CyCarrier 透過每日一次的自動掃描，收集 Windows 系統原本就會記錄的各種日誌，例如事件日誌、Registry、Prefetch 等。因此即使是導入之前的攻擊痕跡，只要仍在 Windows 保存範圍內（依案例不同，通常為數天到數週），也能被可視化。

過去需要熟練技術人員手動進行的攻擊路徑可視化，CyCarrier 也能自動完成。入侵是從哪台設備開始、如何橫向擴散，都能以類似「爬梯子遊戲（對記者而言看起來很相似）」的圖表方式一目了然。該視覺化圖表還會標示時間序列資訊、被執行的指令以及對應的 MITRE ATT&CK 技術，在應對勒索軟體事件時，能作為向管理層說明的資料。

‍

‍

針對日本市場的兩項提案

姜尚郁針對日本市場描繪的戰略，包含兩個核心項目：

策略一是向提供鑑識調查等 IR 服務的資安企業提供 CyCarrier。

姜尚郁表示，「如果過去一年只能提供 50 件鑑識調查服務，使用 CyCarrier 之後就可能處理 100 件甚至 200 件。」

CyCraft 採用 B2B2B 的商業模式，不直接向最終用戶銷售，而是向資安企業提供技術。讓 IR 服務企業的生產力提升 2 至 4 倍是其主要價值。如果一年 50 件的鑑識調查能力能提升到 2 倍或 3 倍，整體市場的供給不足問題就可得到緩解，遭受網路攻擊卻找不到鑑識調查公司的企業也將減少。

CyCarrier 在價格方面也具備競爭力。根據 JNSA 的調查，每台 PC 的鑑識費用一般在 100 萬至 220 萬日圓之間，而 CyCarrier 對 1,000 台設備的一次性授權價格約為 360 萬日圓（合作夥伴價格）。此外，調查期間僅需 3 天至 1 週，相較傳統方法大幅縮短。

姜尚郁的目標十分明確：「希望所有在日本提供 IR 服務的企業，都能預設使用 CyCarrier。」也就是在日本市場建立產業標準。

策略二則是支援大型企業的內部使用。

針對在公司內部擁有 2 至 3 名 IR 專家的大型企業，將透過特別契約形式提供 CyCarrier 服務。目前已有一家員工規模約 4 萬人的大型製造企業計畫導入，並非用在資安事件後的調查，而是將其作為每月或每季的定期資安健檢工具使用。這是一種在攻擊發生前、提前發現威脅的「預防醫學式」資安運營模式。

‍

台灣企業的優勢

姜尚郁在 IT 產業擁有超過 26 年的經驗，他曾在 Symantec、Radware、AhnLab 等各領域皆具代表性、且擁有不同文化與地緣背景的全球資安企業中，擔任日本法人社長或 Country Manager。如今，他正代表來自台灣的 CyCraft Japan 挑戰開拓日本市場。

姜尚郁認為：「韓國、美國、以色列各有其優勢，但台灣也有自己的優勢，那就是對中國相關攻擊擁有極為豐富的經驗與技術。」

‍

‍

日本企業所遭受的網路攻擊中，有相當比例來自中國。由於地緣政治因素，台灣企業 CyCraft 能持續取得由大量預算與頂尖技術所產生的高階 APT 攻擊情資。

CyCraft CEO 吳明蔚（Benson Wu）曾在本刊訪問中說過一句話：「在台灣，我們只要坐著，就能獲得大量可用來訓練 AI 的高階網路攻擊資料，而且還是免費的。所以我們的 AI 資安產品會越來越好。超棒的對吧？」說這句話時，他露出了像孩子般毫無城府的笑容。這是一句極為樂觀、甚至有些過於積極的發言，但卻令人印象深刻。

這些產品改良的成果也已經得到驗證：CyCraft 在 2020 年依據 MITRE ATT&CK 框架進行的全球 21 款產品評測中，在偵測能力項目獲得最高分。此外，CyCraft 也持續以 CFP（非付費演講）形式登上 Black Hat USA 與 CODE BLUE 等國際資安會議。

在被問到競爭情況時，姜尚郁表示：「我認為世界上沒有其他資安廠商擁有相同的技術。」

目前，CyCraft 正在推動擴大與既有合作夥伴如 Digital Data Solution Inc.（ デジタルデータソリューション株式会社）的合作關係。雖然目前無法公開具體公司名稱，但據悉，正在評估導入 CyCarrier 的企業中，包括本刊經常提及的某些大型資安公司，合計約有 3～5 家。至於這項技術是否真的如所稱「在世界上沒有其他同類產品」，目前這些企業仍正在進行驗證。

本刊並不會無條件支持「所有 IR 企業都應該預設使用 CyCarrier」。然而，即使姜尚郁的目標只實現一部分，也能確定：因勒索軟體攻擊而導致業務停擺，卻苦於找不到鑑識調查公司的企業數量將會減少。這一點可以肯定。

原文由高橋 潤哉（ Junya Takahashi ）撰寫