情シスが知っておくべきデジタルフォレンジック。 自分でデバイスを触ってはダメ!?

インタビュー
デジタル・フォレンジック事業の専門企業である「アスエイト・アドバイザリー株式会社」代表「田中 大祐」氏のインタビューコメントを基に、日本の企業組織が事業を行う上での重要となるデジタル・フォレンジックをテーマにした記事となる。デジタル・フォレンジックとは何か、これからの時代にどう関わってくるのかを、昨今重要視される情報セキュリティとのつながりを含め記載している。
目次

今ニーズが増えているデジタル・フォレンジックとは?

フォレンジックという言葉には「鑑識」や「法科学的な」という意味があり、警察が行う捜査の工程においての鑑識そのものを指し、アメリカの刑事ドラマなどでもよく出てくるキーワード。鑑識で見つかった証拠は、法的な証拠として事件の解明に役立つ。

デジタル・フォレンジックは、パソコンやスマートフォンなどのIT環境を対象に行われる鑑識であり、「PC調査」や「サイバー調査」とも呼ばれる場合もある。

ビジネスシーンにおいて、もはやITを一切利用しない企業組織は皆無といえる昨今、それらを取り巻くサイバー攻撃や組織内での不正も増加の一途であるが、問題が発覚した「事後」対応が注目されるようになった。「7pay(セブンペイ)」の例でもあるように、事後対応が悪ければ事業停止といったような悪影響を及ぼしかねない。

田中氏は、デジタル・フォレンジックのノウハウを活かし、不正や事件・事故において、パソコンやスマートフォンの会話内容、サーバーやネットワーク機器に残るログ、法的根拠となる情報の保全ならびに復元、分析、解析を企業組織向けに事業として展開している。その事業の特殊性から、時にはデータ解析により判明した情報が原因で、新たな犯罪や事件に巻き込まれるリスクもあるそうだ。

デジタル・フォレンジックの目的は、事実の証明

田中氏が受ける相談の中で、デジタル・フォレンジックが必要とされる事例をいくつか紹介していただいた。

  • 従業員が退職時に企業の機密情報を持ち出したことへの調査
  • 海外子会社における横領事件の調査
  • パワハラ・セクハラなどの社内の人間関係に関する調査・雇用契約に関わる事実確認
  • 社内外問わずのサイバー攻撃
  • ホームページやECサイトからの情報漏洩の有無

企業組織の運営管理体制はなかなか外からでは把握できるものではなく、機密情報の持ち出しや不正利用、対人トラブル(セクハラやパワハラ)、金銭の横領や不正送金、さらにはサイバー攻撃など、企業組織の脅威となり得る要素は多い。

田中氏曰く、「デジタル・フォレンジックスはこれらの事実を解明することを目的にする。」

例えば、企業内でパワハラの疑惑が浮上した際、当事者の証言だけではなかなか事実確認が難しいと言える。いわゆる「言った、言ってない」の世界であり、当人たちの日頃の行いなどの不確かな要素をもって判断せざるを得なくなるだろう。しかし、その現場に映像や録音がされていれば、当時の情報を確認することで真実の証明につながる。

こうした物的証明ももちろん重要だが、ITの浸透により、目で見る耳で聞くという証明が困難な状況も増加しており、サイバー攻撃はその最たるものであるだろう。不正アクセスやホームページの改ざん、マルウェア感染といった悪意あるハッカーの攻撃、ビジネスメール詐欺、さらにはオンラインゲームアカウントの乗っ取りなどである。

上記に挙げられたケースはビジネスシーンにおけるほんの一例であり、情報元のアスエイト・アドバイザリー社が主に企業組織を中心にサービス展開していることが理由であると付け加える。国家組織や宗教団体さらには個人など、対象が異なれば調査内容や工程は大きく異なり、情報の重要性や難易度も様々であり事例もより幅広いものになる。

セキュリティ対策は”事後”に生まれる

田中氏曰く、「セキュリティ対策は”事後”に生まれます。例えば会社の入り口に鍵を取り付けるというセキュリティがありますが、なぜそのような対策が取られるようになったのでしょうか?それは、過去に入口から泥棒が侵入された事実があったからです。セキュリティも同じことで、すべて“事後”から始まっているのです。」

また、デジタル・フォレンジックは、事後のセキュリティ対策という立ち位置の工程であり、現実に則したセキュリティ強化が期待できるという。実際に問題が発生した際、想定している原因や要因が果たして事実なのかを第三者目線で究明し明らかにできるため、的確な対処を取ったとして結果的に企業価値の向上にもつながるとのこと。

実際にデジタル・フォレンジックはどのような手順で進められるのか?

フォレンジック作業を進行する際、大きく分けると2つのパターンがあるそうだ。対象者に調査の事実を明かさず実行する場合と、企業内で情報周知をして表立って対象者にヒアリングを行う場合とがある。それにより調査過程において多少の違いはあるが基本的な作業工程に変化はない。ステップとしては次のような流れが基本となるようだ。

  1. 事前のヒアリング
    先ずは、なぜ起きたのか?何が起きたのか?いつ起きたのか?他に誰か関与していないのか?発覚の原因は?どの様にして管理していたのか?など現時点で把握している状況をヒアリング。

    そこからクライアントの相談案件に沿った仮説を立て、解析する対象物や調査項目の優先順位を決める。あらゆる可能性を考慮したヒアリングにより、新たな対象者や対象物が発見される事もあるので、非常に重要なステップ。この入口を間違えるとトンチンカンなフォレンジック調査となり、無意味な調査となる可能性が大いにある。無駄な時間やコストを省き、且つ、的確な分析結果を導くことにつながる重要なステップである。

  2. 証拠保全
    パソコン、サーバー、スマートフォンなどのデータを保全し、対象物と同じクローンを作成する。調査を行う事を明かにしていない場合は、深夜の時間帯など、業務時間外に保全作業が行われる。調査対象者が意図的に証拠隠滅などを行うことがあるため。調査を行う旨を共有している場合は、表立って関連するパソコンやUSBなどのデバイスを回収する事やログ調査の環境を整えて頂く。直接対象物を解析するのではなく、ここで保全したコピーデータを解析する。

    最初に保全を実施するのは、タイムスタンプの変化や削除データへの上書による証拠消滅を極力避けるため。調査を行う前に対象物と同一性を担保させてデータを保全し、保全したデータを解析する。

  3. 復元
    様々なログやメールなど削除されたデータを復元する。

    パソコン、スマートフォン、USB内のあらゆる削除データの復元を行い、問題の原因となる情報を見つけ出す。その復元データには削除されたメールはもとよりインターネットの閲覧履歴、USBなどの外部接続履歴、ファイル更新履歴、プログラム更新履歴などの過去の削除データが復元される事になる。それらのデータは、例えばメールであれば何千通にもなり、現存するメールをあわせると何万通にもなる。それらを各履歴と共に多角的に原因究明の調査を行う。

    往々にして、人は都合の悪いデータは削除しているので、削除データからは必ずと言って良いほど何らかの重要な情報が確認される事が多い。

  4. 解析・分析
    相談案件によって①で決めた調査項目に合わせてデータの解析・分析を進めて行く。③で得た情報を現存する情報と併せて実際に何が起こったのか、どの様にして行われたのか、他に関与している物はいないかなど、事前に行ったヒアリング情報と照らし合わせ、今までのフォレンジック調査で培った知見を活かしながら柔軟な観点と経験を駆使して解析・分析をおこなう。

    データは、メールや各履歴や画像など膨大な情報量となり、その中から不正・不祥事の証拠や原因を見つけ出すのは至難の業である。

  5. 調査報告書および報告会
    これまでのデジタル・フォレンジック調査で明らかになった事実情報をまとめ、総合的にどの様な調査結果になったのか、或いはどの様な可能性が考えられるのかを事実と知見を元に報告する。また、デジタル・フォレンジック調査の結果から導きだした企業価値を高めるための再発防止策を提言する。

    この事を経営陣や株主の方々に報告会を開き、その内容を説明する。フォレンジック調査結果を理解して頂く為に気を付けなればいけないのが、専門的な用語を使い過ぎず、分かりやすく説明する事。

    そして、この第三者機関からの報告結果によっては今後の企業活動が左右され、また裁判での判決も左右されると言っても過言ではない。それくらい重要かつ責任ある結果報告になる。

企業組織において、デジタル・フォレンジックが必要な事態が発生した際、多少知識がある社員などがいると、独自に原因究明に行動されるケースがある。フォレンジックの観点から、これは事件現場を荒らしまわる行為に他ならない。

殺人事件があったとして、現場の死体に触れたりや周囲の物品を移動するなどして、発見当時から様変わりしてしまっては、警察も探偵も調査も遅々として進まない状況になるだろう。

話を戻し、企業組織においても同様で、下手に行動をとってしまうことで、肝心の証拠データが消えてしまい復元も困難な状態になり、進退窮まる結果となり得るわけである。 このような田中氏は、デジタル・フォレンジックが必要な事態が発生した際の初動は、専門家への調査依頼をするよう推奨している。

企業がデジタル・フォレンジックのためにとるべき対策

デジタル・フォレンジック調査は、アスエイト・アドバイザリー社をはじめとする専門家が実施することで効果が期待できるわけだが、企業組織が独自に整えておくべき体制があり、それにより原因究明の確実性が増すという。

田中氏が推奨した、企業組織が整える体制のポイントは以下のとおりである。

  • サイバー攻撃に備え、定期的なセキュリティ脆弱性の診断
  • 社内パソコンやスマートフォンなどのデバイスの使用履歴のチェックや、入退室記録、防犯カメラ設置
  • 有事に対処するためのチームの制定
  • 組織内のネットワーク構成確認
  • 従業員のIDパスワード管理
  • 有事を想定した訓練や知識共有のための勉強会実施
  • セキュリティの専門家と平時でもコミュニケーションをとる

まとめ

今やITを介した組織内外問わず様々な脅威が溢れている。加えて社内においても横領やパワハラやセクハラなどの人間関係トラブル、雇用契約の誤差といった以前から取り上げられるコンプライアンスに関わる問題も依然残っている。

企業組織は、IT技術の浸透により注意すべき対象が増加しており、それらすべてに確実な対応方法は残念ながら存在しない。もはや、何が真実で何が間違いなのかを見極めることが非常に困難なのである。

田中氏のインタビューから見えてきたのは、100%の事前対策を目指すよりも、問題が起こることを前提とし、有事に迅速に対応できるような環境づくりが重要になるということである。そして、なにかしらの問題が発生した際、デジタル・フォレンジックは不透明な状況を打開する重要なカギになるだろう。

田中氏は、企業組織が保有する膨大な情報資産の重要性をセキュリティの観点から取り扱い守ることを重要とし、デジタル・フォレンジックの存在がさらに世の中に広まってくれることを願っている意を表してインタビューを締めくくった。

最新情報をチェックしよう!