第56号コラム: 小山 幸輝 氏(株式会社インフォセック セキュリティエンジニア、IDF会員)
題:「デジタル・フォレンジックは、専門家以外の方の助け(役割)も必要としています」

~「デジタル・フォレンジックのキーワード」=「正確性(正当性)や信頼性」と「見える化(積極的な可視化 による問題発生の抑制、早期解決能力の向上)」~

デジタル・フォレンジックという言葉を聞くと、専門家が証拠を収集、分析するというイメージがあります。そのイメージは、デジタル・フォレンジックの専門家が、不正(犯罪)調査やインシデントレスポンス(事故や事件への対応)を行い、法的紛争(訴訟)などに貢献するという一面から来ているのかもしれません。
デジタル・フォレンジックの専門家が扱う証拠となるデータなどは、改変されることなく、正確に記録されていることが重要であり、その正確性(正当性)をより高めることが、信頼性を高めることにもつながると考えます。
なぜなら、証拠となるデータなどが、正確に記録されずに、誤って記録されている疑いがあれば、真実を証明する難易度が増して、不正(犯罪)に関係していない無罪の人の潔白を明らかにできずに、不幸になる(有らぬ疑いをかけられる)可能性が高まるだけでなく、実際に不正を犯した人の有罪の事実すら立証されず、有罪の人には逃げられるかもしれないからです。
したがって、常日頃から証拠となるデータなどが改変されることなく、正確に記録されていることを担保することが、不正(犯罪)を確実かつ早期に解決や発見する近道となり、不正(犯罪)調査やインシデントレスポンス(事故や事件への対応)の時間やコストの縮減につながるばかりでなく、「企業の評判や事業継続、コンプライアンスにもプラスに働く」と考えられます。
日々の業務やシステムの運用など通じて、証拠となるデータなどに最初に関わる重要な立場にあるのが「企業やシステムの責任者(管理者)」であり、証拠となるデータなどの正確性(正当性)や信頼性を担保する重要な役割を担っているのです。
では、この証拠となるデータなどの正確性(正当性)や信頼性を担保するのに重要なものとして、どのような視点や考え方があるのかを、今回は以下の2つの切り口から考えてみたいと思います。
●テクニカル(技術)、マネージメント(管理)
●コンピュータフォレンジック、ネットワークフォレンジック
まず、正確性(正当性)や信頼性を担保することを「テクニカル(技術)、マネージメント(管理)」から捉えた場合の例としては、
・データを記録するシステムが不正アクセスなどに遭わないように対策を実施すること
・一度記録されたデータが後で上書きや消去されない媒体(CD-Rなど)に保存すること
・記録されるデータのタイムスタンプの正確性を確保すること
・データをバックアップする日時や手法、データを保存する期間を適切な設定にすること
・データを扱う人の指定を適切にすること
・データが確実に保存されているかを定期的に適切な方法で確認すること
・データの保存先を物理的に分散させること
などが考えられます。
もしも、不正アクセスなどによって証拠となるデータなどが改変されたり、安易に一度記録されたデータが上書きや消去されると真実を証明する難易度が増して、犯罪事実の立証が困難になるばかりでなく、無罪の人と有罪の人を切り離せなくなる可能性がありますし、システム時間(日付)が不揃いでデータのタイムスタンプの基準がバラバラであれば、相関関係を調査する時などに支障きたすかもしれません。
データをバックアップする日時や手法、データを保存する期間に一貫性がないと、実際に調査を行うのに無駄な時間と労力を要するばかりでなく、データの復元作業を正確に行う難易度が増して間違いなどが発生し、信頼性が低下する可能性があります。
また、データを扱える人があいまいで不特定多数の人が存在した場合などは、データの改変などが発生するリスクが高まるばかりでなく、信頼性も疑われる可能性が高まります。
データが確実に保存されているかを定期的に適切な方法で確認したり、保存先を物理的に分散させることにより、データの可用性や信頼性を高めることができ、必要に応じて確実にデータを扱えることが期待できます。
このように、証拠となるデータなどがいつ、どのように、どこへ、誰の手によって記録(保管)されているのかを証明できる(見える化できている)ことが非常に重要と考えられます。
それでは、もう一方の「コンピュータフォレンジック、ネットワークフォレンジック」について考えてみます。
ここでいう「コンピュータフォレンジック」は、ネットワーク上を流れていた情報の直接的な収集や  保存、監視などを目的とした記録を除くものと仮定しており、主にサーバ、PC、携帯端末などに残されている以下に例示する記録を対象としております。
「コンピュータフォレンジック」から捉えた場合の対象となり得る記録(情報)の例としては、コンピュータのディスクやメディアなどの中に残されているWeb閲覧履歴データ、パスワード履歴データ、フォーム履歴データ、メール送受信データ、削除されたファイルなどが考えられます。
「ネットワークフォレンジック」から捉えた場合の対象となり得る記録(情報)の例としては、実際にネットワーク上を流れていた情報に関連するものとして、Webデータ(ログ)、メールデータ(ログ)、ファイルの送受信データ(ログ)などが考えられます。
これらのデータ(ログ)が、コンピュータフォレンジック及びネットワークフォレンジックから得られるからこそ、不正(犯罪)調査やインシデントレスポンス(事故や事件への対応)を行う際の正確性(正当性)や信頼性などがより高まります。
例えば、あるコンピュータ(サーバ、PC、携帯端末など)からWebにアクセス後、暗号化されたファイルをダウンロードし、インストールした形跡を調査したい場合を想定してみます。
「コンピュータフォレンジック」からは、Web閲覧履歴データやダウンロードしたファイル、インストールした形跡などが取得できる可能性があり、「ネットワークフォレンジック」からは、ネットワーク上を流れていた情報に関連するWebデータ(ログ)やファイルの送受信データ(ログ)などが取得できる可能性があります。
しかし、これらのどちらか片方だけでは、調査目的のデータやログなどを取得し、必要かつ重要なものを満たせるわけではありません。
「コンピュータフォレンジック」では、暗号化されたファイルが残っており、そのファイルが復元可能であれば(パスワードなどが判明すれば)ファイルの中身を確認できる可能性が高くなりますが、閲覧履歴の保存日数の設定が短いなどにより、Web閲覧履歴データが発見できなく(発見しにくく)なっているかもしれません。
「ネットワークフォレンジック」では、ファイルを送受信したIPアドレス(URL)やWebの通信状況、Webの閲覧履歴などが判明するかもしれませんが、暗号化されたファイルの中身やファイルがインストールされた状況を証明するのは困難かもしれません。
コンピュータフォレンジックとネットワークフォレンジックは、お互いのメリットとデメリットを補完し合う関係にあり、正確性(正当性)や信頼性を高めて、見える化も可能にするデジタル・フォレンジックの確立には、両方とも必要不可欠なものと考えます。
「コンピュータフォレンジック」が始点や終点であれば、「ネットワークフォレンジック」はその点を結びつける線の役割を担っていると置き換えて考えてもいいでしょう...。
このように、
「テクニカル(技術)、マネージメント(管理)」
「コンピュータフォレンジック、ネットワークフォレンジック」
のそれぞれがしっかり確立されて、結びつきが強くなるほど、証拠となるデータなどの正確性(正当性)や信頼性が高まり、見える化も実現できる(積極的な可視化によって問題発生の抑制や早期解決能力の向上が期待できる)と考えます。
最後に、
「デジタル・フォレンジックは、専門家以外の方の助け(役割)も必要としています」
なぜなら、「企業やシステムの責任者(管理者)」は、日々の業務やシステムの運用など通じて、証拠となるデータなどに最初に関わり、正確性(正当性)や信頼性、見える化を左右する重要な役割を担っているからです。
その正確性(正当性)や信頼性、見える化を担保する意識や行動が積極的であればあるほど、
●不正(犯罪)を確実かつ早期に解決や発見できる。
●不正(犯罪)調査やインシデントレスポンス(事故や事件への対応)の時間やコストの縮減につながる。
●企業の評判や事業継続、コンプライアンスにもプラスに働く。
という成果が期待できると考えます。
※備考:「デジタル・フォレンジック」は、情報セキュリティの分野においても、不正(犯罪)や異常などを迅速かつ的確にきめ細かく発見(見える化)できる有能なソリューションです。
「迅速かつ的確にきめ細かく発見(見える化)できる」ことが、早期の原因特定、早期対処や   被害拡大防止につながり、最終的には業務の早期復旧や業務の停止時間短縮に貢献することになるのです。
「デジタル・フォレンジック」は、「BCP(事業継続)フォレンジック」や「BCP(事業継続)
セキュリティ」という考え方も出来るでしょう...。
※以上のコラムについては、あくまでも私見です。
※デジタル・フォレンジック全般に関する情報については、「デジタル・フォレンジック事典」などをご参照ください。

【著作権は小山氏に属します】