第83号コラム「事故対応社会におけるデジタル・フォレンジックの役割」

第83号コラム:守本 正宏 (株式会社UBIC 代表取締役社長、IDF理事)
題:「事故対応社会におけるデジタル・フォレンジックの役割」

本年2月に内閣官房情報セキュリティセンター(NISC)は「第2次情報セキュリティ基本計画」を策定し、その中では“あらゆる関係主体は、情報漏えい、情報システムのサービス機能低下・停止などの情報セキュリティ上の問題の発生を防止するべく事前対策に最大限の努力を行いつつ、それでも万が一の事態が有り得ることを認識し、これに向けた準備を怠らない”とする“事故前提社会”という言葉が使われております。そしてさらに“そして万が一の事態においては、その影響範囲、影響の度合い、緊急度、原因などの事実関係を明らかにしつつ、迅速な対応・復旧を広く進めることで、事業継続性を確保する”と続いております。本年のデジタル・フォレンジック・コミュニティ2009はまさにそれに呼応するように、“事故対応社会におけるデジタル・フォレンジック”というテーマで開催されます。そしてデジタル・フォレンジック・コミュニティ2009において“事故対応社会“としたのは、前述の後段に対応したものだと私は考えています。

私はデジタル・フォレンジック研究会の「技術」分科会の幹事をさせていただいているのですが、このコラムでは「技術」分科会が行う、「技術」事例説明・研究会の中身についてほんの少しだけご紹介したいと思います。

 

NISCでも“事故前提社会”という言葉が使われるように、事故そのものがある確率のなかで発生する事実は無視することができない現実となっています。社会の活動はすべて人が関与しており、不正を起こすのも人の意志で行うものであり、ITシステムが勝手に不正を働くものではありません。ITシステムそのものが誤動作をして事故を起こすことはありますが、もともとシステムそのものも人が作ったものであるとすれば、人が関与していない事故はないといえるでしょう。特に不正においてはさらに顕著にその傾向が現れます。セキュリティシステムも人が作ったものですので、人によってセキュリティを破ることは不可能ではありません。最も容易にセキュリティを破るには、対象のセキュリティシステムを知り尽くしているか、もしくはセキュリティシステムを知り尽くしている人と共謀するか、もしくは、システムはあまり知らなくてもたとえば機密情報にアクセスし自由に使用できる権限を持っていれば可能です。要するに我々の想像以上に簡単な方法で情報を取得するチャンスが存在するということです。

もちろん従来の予防するためのセキュリティシステムが全くの無駄だということはありません。企業・団体に属する多くの人は前述したような悪意を持った人ではないでしょう。そのような人に過失による不正を起こさせない。あるいは不正が起こった際に身の潔白を証明するためには、予防のためのセキュリティシステムはとても有効です。

さて、実際に不正という事故が発生した場合、どのような対応が必要になるか考えてみますと、状況把握と訴訟対策が重要なことだと言えるでしょう。

まず、状況把握ですが、把握すべきポイントとしては発生日時、関係者、事故内容、被害状況(有無)などが挙げられます。不正事故の多くはITシステムの中に記録されておりますが、データ削除、暗号化、パーテーションによる隠ぺい、破壊などさまざまな手段を用いて隠ぺいされることもあります。もっと単純な例をあげると、データ量があまりにも膨大なのでその中から証拠を見つけだすことが難しいといった障害も十分考えられます。そのような困難な状況をクリアして状況の把握につとめなければいけません。また、これらの困難な状況をクリアしたとしても、例えば“情報を外部に送ったメールが見つかる”などの欲しい情報がピンポイントで見つかるとは限りません。その場合でも、その他周辺情報などから“不正行為を行った可能性が極めて高い人物”だと推定できる情報等を見つけ出さなければなりません。

そしてさらにさまざまな困難を克服して得た証拠を法廷紛争に耐えうるものにしなければなりません。そもそもここで考えるべき‘事故’とは、強固に配備された予防対策を破るような不正事故であるため、受けた被害によっては訴訟になる可能性が高くなることが十分予想できます。訴訟に耐えうる証拠性を保持するには、デジタル・データの証拠性の確保(データを改変しない。データを改変していないことを証明する。保管の継続性を維持し証明することなど)が重要です。(民事訴訟では証拠力の評価は刑事訴訟よりは厳密に問われないまでも最低限、必要な証拠を見つけるという技術は必要になります。)さらにほとんどの現場では“証拠保全してください。”と言って待っていてくれる状況ではありません。ライブデータの確保の場合やディスクが暗号化されている場合は、データに直接アクセスしたり、OSを立ち上げたりし、ある程度の時間情報の変更はやむを得ないこともあります。しかし、そのような状況においてもその時点で考えられるベストエフォートで対応することは可能です。どの程度までが許容範囲なのかはここで一概には言えませんが、対応が絶対不可能ということは決してありません。しかし、このような特殊な状況においては、豊富なデジタル・フォレンジックの知識と経験がなければ対応は難しいでしょう。

このように事故対応にはデジタル・フォレンジックは必要不可欠と言えますが、まだまだ我が国においてデジタル・フォレンジックの普及は進んでおりません。昨今発生している情報漏えい事件の中でも初期対応で適切にデジタル・フォレンジック対応ができていなかったために、証拠を隠滅してしまう寸前であったものや、中には最後まで犯人がわからなかったケースもありました。デジタル・フォレンジックをよく知らない人が調査のためにパソコン内の証拠を直接調べようとして、犯人と全く同じ行為をしたために、調査した人が、犯人の行動の痕跡を完全に上書きしてしまったケースもあります。また証拠保全したまではうまくいったのですが、証拠保全したHDDに上書き防止装置なしで直接調査し、しかもバックアップをとっていなかったので、証拠保全した意味がなくなったなどの例もあります。

また、2009年4月21日に成立した改正不正競争防止法に関してですが、改正のきっかけとなったのはある情報漏えい事件だといわれています。その情報漏えい事故では犯人だと思われる人物が情報を取得したという痕跡までは証拠として確保したのですが、情報を第3者に送ったという証拠等は破壊されていました。旧不正競争防止法では処罰の対象が「不正の競争の目的」のものに限定されていたので起訴ができなかったといわれています。しかし、明らかな不正だろうと思われる行為に対して何もできないようでは不正の抑止はできません。これらを踏まえて、改正不正競争防止法では「営利目的や加害目的及び任務違反による営業秘密の不正入手行為」についても刑事罰が科せられるように改正されています。ただし、もちろん刑事罰を科すための要件をそろえるためには適切な準備とインシデントレスポンス対応が必要です。それらを満たすためにもデジタル・フォレンジックは大きな役割を果たします。

コミュニティ当日は、さらに詳しくこれらの内容を12月15日の“「技術」事例説明・研究会”のセッションでご紹介させていただきます。 また、それ以外のセッションでも各分野の専門家の方々が講師・パネリストとして参加しますのでそれぞれの立場での貴重なお話を伺うことができます。デジタル・フォレンジック・コミュニティ 2009では事故対応社会を乗り切るための重要な提言・ヒントがきっと見つかることでしょう。

 

【著作権は、守本氏に属します。】