Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

デジタル証拠保全技術の課題はシステムの大規模化と人材不足


 コンピュータやネットワークを利用した事件が起きた場合に、原因究明のために必要な証拠を収集・保存する技術「デジタルフォレンジック」についての研究発表を行なう「デジタル・フォレンジック・コミュニティ2004」が12月20日と21日に開催された。21日には、米国から実際にデジタルフォレンジックの専門家を迎えての基調講演と、個別の話題に関する分科会が開かれた。


デジタルフォレンジックには専門の教育と事前の体制整備が不可欠

米AccessDataのCEOを務めるエリック・トンプソン氏
 米AccessDataのCEOを務めるエリック・トンプソン氏による講演では、まずデジタルフォレンジックという概念が米国では比較的古くから導入されていたとして、実際に同氏が関わったことのある事例を紹介した。1991年にボリビアの麻薬組織を摘発した際に、麻薬の取引先や過去の販売記録などを暗号化したデータを保存してあるパソコンを押収し、暗号を解読して各組織の窓口となる人間を特定し、結果的に当時としては最大規模の逮捕劇につながったという。このほか、トンプソン氏はエンロン事件におけるフォレンジックの活用の様子なども紹介した。

 その上でトンプソン氏は、「デジタルフォレンジックで難しいのは証拠の保全だ」と語り、あるインシデントが発生した際にハードディスクの中を汚染しないようにしてデータを保全するには特別なトレーニングが必要であることをアピールした。「フォレンジックの訓練を受けていない管理者は、何かインシデントが発生すると、例えばWindows上でエクスプローラを立ち上げて復旧作業を始めてしまう。これは、殺人事件の現場で遺体に刺さったナイフを勝手に抜いてしまったり、現場を荒らしてしまうのと同じこと」と述べ、フォレンジックの専門家は「データは必ずHDDイメージの形で保全する」「ハードウェア的にHDDへの書き込みをブロックする装置を使って不用意な書き込みを防ぐ」「あらかじめHDD内のデータに関するFingerPrintを取っておく」など厳しいルールを守らなくてはならないと語った。

 とはいえ、企業など一般的な組織の場合はあくまでビジネスの継続が最優先であり、「調査のために2~3日業務を止めるわけにはいかない」。そのため、業務の停止期間を最小限にとどめつつきちんと証拠を保全するには、「あらかじめガイドラインを定めておき、業務を進行しながら調査を行なえる体制を用意しておくことが必要」だと指摘した。

 一方で、「多くのインシデントは本格的な捜査に値しない程度のものであり、個々のインシデントに見合ったコストを考えないと費用の無駄遣いになる」とも述べ、何でもむやみやたらに調査するのではなく、費用対効果を考えて体制を組むことも重要だと語った。


データ規模の拡大にどのように対応するかが今後の課題

 講演の後半でトンプソン氏は、1980年代から現在に至るまでのフォレンジックの歴史を振り返りつつ、「かつてFDDの時代は調査には1台のパソコンがあればよく、ファイル数もせいぜい1万ファイルぐらいだった。現在は調査のために何十台というパソコンが必要で、データ量も数テラバイト単位になっており、1つの事件で扱うファイル数が1億ファイルを超えるようになる日も近い」「エンロン事件の時には、関連するPCのHDDをイメージ化して保存するだけで1週間かかった」と述べ、フォレンジックを行なうのに必要な人員や機材の規模が急激に拡大している様子を示した。

 しかし、それに対してフォレンジックの専門家の増加のペースが遅いために調査の手が追いつかず、「現在では調査開始から完了までに10カ月かかるようなことが珍しくない」という。そこで、トンプソン氏は人材不足を補うために、「今後はコンピュータの専門家だけでなく、それ以外の専門家とも積極的に協力を行なっていく必要がある」と述べた。また、技術的な面では「毎秒250ファイルを解析できるシステムでも、1億ファイルを片付けるには約5日間かかることを考えると、今後は処理速度向上のために分散処理を導入することが不可欠だろう」「大規模なデータを扱うためにはデータベースをもっと本格的に導入するほか、Googleのようなフルテキストサーチのためのインデックス技術なども活用すべき」と今後の課題を指摘して講演を締めくくった。


フォレンジックで気をつけるべき10項目 今後本格的なフォレンジックによるインシデント解析を行う際に必要になると思われるシステムの模式図

まずはできるところからログの保全を始めるべき

左から北岡弘章氏、宮坂肇氏(NTTデータ)、佐藤慶浩氏
 21日午後に行なわれた「個人情報保護とフォレンジック」分科会では、個人情報保護法の完全施行が2005年4月に迫る中、どのようにフォレンジック技術を個人情報保護法の中で活用して行くかといった点について議論が行なわれた。

 まず個人情報を取得する場面においては、弁護士の北岡弘章氏が「例えば個人情報の第三者提供を受ける側において、情報を提供する側がきちんと対象者に対して第三者提供に関する了解を得ているかどうかを確認するといった局面でフォレンジックが関係してくるのではないか」と述べた。日本ヒューレット・パッカードの佐藤慶浩氏は、「本人に個人情報の利用目的を通知する部分で、後になってから本人から『そのような通知を受けた覚えはない』などといった苦情が来た場合に、フォレンジックによってどういう文面で通知したかなどといった情報を保全しておかないと、裁判所から『適切な通知を行なっていない』とみなされる可能性がある」と語り、フォレンジックが個人情報保護においても比較的重要な役割を果たす可能性があるとした。

 一方で佐藤氏は、「例えば『通知したはずなのに通知していないとユーザーに思われてしまう』というのは企業として失格ではないか」「コンプライアンスリスクを減らすことばかりを気にして、お客様へのわかりやすさをないがしろにしてはいけない」とも語り、あくまでフォレンジックは万が一の時の担保であり、本来はそのようなものがなくてもユーザーに対してわかりやすい形で個人情報を取得するのが筋であるとも指摘した。

 また、取得した個人情報の正確性の確保や安全管理措置の部分については、北岡氏が「ユーザーへの説明責任を果たすために、普段から何かあったときにすぐ証拠が見つかるような体制作りの一環としてフォレンジックを使うのがよいのではないか」「フォレンジックは企業の内部監査をやるときの有効なツールになる」と述べたが、一方で「そのためには社員の個人情報を集めまくらなきゃいけない場面も出てくる」として、従業員のプライバシー保護との兼ね合いで慎重にならなくてはならない部分も出てくると語った。

 前述したトンプソン氏の講演でも指摘されているように、本格的なフォレンジックを行なうためには専門的な教育を受けた人間が必要であり、そのような人間を育てる、または外部から引っ張ってくるのは多くの企業では難しいところ。そこで佐藤氏は「まずは高望みしないで、現在動いているシステムのログを保全するところから始めるのが賢明」と述べ、フォレンジックとまではいかないものの、ログを保全することで何か問題が起きたときにその原因が自分にあるのか他社(あるいはユーザー)にあるのかを確認できるようにして、そこから段階的に体制を整備していけばよいのではないかとの見解を示した。

 最後に佐藤氏は、「個人情報保護法ではユーザーからの開示請求や苦情処理なども重要なポイントだが、それらの問題をやんわりと解決するフォレンジックというものがあってもいい」と語り、今後さらに検討を進めていきたいとの姿勢を示した。


関連情報

URL
  デジタル・フォレンジック・コミュニティ2004
  http://www.digitalforensic.jp/Work.html

関連記事
“デジタルフォレンジック”で医療ミスやセクハラ社長を追放へ(2004/12/21)


( 松林庵洋風 )
2004/12/22 16:22

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.