 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
デジタル証拠保全技術の課題はシステムの大規模化と人材不足 |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
コンピュータやネットワークを利用した事件が起きた場合に、原因究明のために必要な証拠を収集・保存する技術「デジタルフォレンジック」についての研究発表を行なう「デジタル・フォレンジック・コミュニティ2004」が12月20日と21日に開催された。21日には、米国から実際にデジタルフォレンジックの専門家を迎えての基調講演と、個別の話題に関する分科会が開かれた。 ● デジタルフォレンジックには専門の教育と事前の体制整備が不可欠
その上でトンプソン氏は、「デジタルフォレンジックで難しいのは証拠の保全だ」と語り、あるインシデントが発生した際にハードディスクの中を汚染しないようにしてデータを保全するには特別なトレーニングが必要であることをアピールした。「フォレンジックの訓練を受けていない管理者は、何かインシデントが発生すると、例えばWindows上でエクスプローラを立ち上げて復旧作業を始めてしまう。これは、殺人事件の現場で遺体に刺さったナイフを勝手に抜いてしまったり、現場を荒らしてしまうのと同じこと」と述べ、フォレンジックの専門家は「データは必ずHDDイメージの形で保全する」「ハードウェア的にHDDへの書き込みをブロックする装置を使って不用意な書き込みを防ぐ」「あらかじめHDD内のデータに関するFingerPrintを取っておく」など厳しいルールを守らなくてはならないと語った。 とはいえ、企業など一般的な組織の場合はあくまでビジネスの継続が最優先であり、「調査のために2~3日業務を止めるわけにはいかない」。そのため、業務の停止期間を最小限にとどめつつきちんと証拠を保全するには、「あらかじめガイドラインを定めておき、業務を進行しながら調査を行なえる体制を用意しておくことが必要」だと指摘した。 一方で、「多くのインシデントは本格的な捜査に値しない程度のものであり、個々のインシデントに見合ったコストを考えないと費用の無駄遣いになる」とも述べ、何でもむやみやたらに調査するのではなく、費用対効果を考えて体制を組むことも重要だと語った。 ● データ規模の拡大にどのように対応するかが今後の課題 講演の後半でトンプソン氏は、1980年代から現在に至るまでのフォレンジックの歴史を振り返りつつ、「かつてFDDの時代は調査には1台のパソコンがあればよく、ファイル数もせいぜい1万ファイルぐらいだった。現在は調査のために何十台というパソコンが必要で、データ量も数テラバイト単位になっており、1つの事件で扱うファイル数が1億ファイルを超えるようになる日も近い」「エンロン事件の時には、関連するPCのHDDをイメージ化して保存するだけで1週間かかった」と述べ、フォレンジックを行なうのに必要な人員や機材の規模が急激に拡大している様子を示した。しかし、それに対してフォレンジックの専門家の増加のペースが遅いために調査の手が追いつかず、「現在では調査開始から完了までに10カ月かかるようなことが珍しくない」という。そこで、トンプソン氏は人材不足を補うために、「今後はコンピュータの専門家だけでなく、それ以外の専門家とも積極的に協力を行なっていく必要がある」と述べた。また、技術的な面では「毎秒250ファイルを解析できるシステムでも、1億ファイルを片付けるには約5日間かかることを考えると、今後は処理速度向上のために分散処理を導入することが不可欠だろう」「大規模なデータを扱うためにはデータベースをもっと本格的に導入するほか、Googleのようなフルテキストサーチのためのインデックス技術なども活用すべき」と今後の課題を指摘して講演を締めくくった。
● まずはできるところからログの保全を始めるべき
まず個人情報を取得する場面においては、弁護士の北岡弘章氏が「例えば個人情報の第三者提供を受ける側において、情報を提供する側がきちんと対象者に対して第三者提供に関する了解を得ているかどうかを確認するといった局面でフォレンジックが関係してくるのではないか」と述べた。日本ヒューレット・パッカードの佐藤慶浩氏は、「本人に個人情報の利用目的を通知する部分で、後になってから本人から『そのような通知を受けた覚えはない』などといった苦情が来た場合に、フォレンジックによってどういう文面で通知したかなどといった情報を保全しておかないと、裁判所から『適切な通知を行なっていない』とみなされる可能性がある」と語り、フォレンジックが個人情報保護においても比較的重要な役割を果たす可能性があるとした。 一方で佐藤氏は、「例えば『通知したはずなのに通知していないとユーザーに思われてしまう』というのは企業として失格ではないか」「コンプライアンスリスクを減らすことばかりを気にして、お客様へのわかりやすさをないがしろにしてはいけない」とも語り、あくまでフォレンジックは万が一の時の担保であり、本来はそのようなものがなくてもユーザーに対してわかりやすい形で個人情報を取得するのが筋であるとも指摘した。 また、取得した個人情報の正確性の確保や安全管理措置の部分については、北岡氏が「ユーザーへの説明責任を果たすために、普段から何かあったときにすぐ証拠が見つかるような体制作りの一環としてフォレンジックを使うのがよいのではないか」「フォレンジックは企業の内部監査をやるときの有効なツールになる」と述べたが、一方で「そのためには社員の個人情報を集めまくらなきゃいけない場面も出てくる」として、従業員のプライバシー保護との兼ね合いで慎重にならなくてはならない部分も出てくると語った。 前述したトンプソン氏の講演でも指摘されているように、本格的なフォレンジックを行なうためには専門的な教育を受けた人間が必要であり、そのような人間を育てる、または外部から引っ張ってくるのは多くの企業では難しいところ。そこで佐藤氏は「まずは高望みしないで、現在動いているシステムのログを保全するところから始めるのが賢明」と述べ、フォレンジックとまではいかないものの、ログを保全することで何か問題が起きたときにその原因が自分にあるのか他社(あるいはユーザー)にあるのかを確認できるようにして、そこから段階的に体制を整備していけばよいのではないかとの見解を示した。 最後に佐藤氏は、「個人情報保護法ではユーザーからの開示請求や苦情処理なども重要なポイントだが、それらの問題をやんわりと解決するフォレンジックというものがあってもいい」と語り、今後さらに検討を進めていきたいとの姿勢を示した。 関連情報 ■URL デジタル・フォレンジック・コミュニティ2004 http://www.digitalforensic.jp/Work.html ■関連記事 ・ “デジタルフォレンジック”で医療ミスやセクハラ社長を追放へ(2004/12/21)
( 松林庵洋風 )
- ページの先頭へ-
|
