第226号コラム:山田 晃 理事(株式会社サイバーディフェンス研究所 
情報分析部 上級分析官)
題:「デジタル・フォレンジックに係る標準化の動向」

 以前にも当コラムで紹介したことがある、デジタル・フォレンジックに関係した国際標準が、約二年半の協議期間を経て、年内にも発行される予定となりました。この国際標準は、サイバー犯罪の現場に最初に到着する対応者(DEFR:Digital Evidence First Responder)やデジタル証拠の専門家(DES:Digital Evidence Specialist)等が、デジタル証拠が保存されていると考えられる機器等を特定(Identify)して、それを収集(Collect)し、その中からデジタル証拠を取得(Acquire)した後、解析されるまで安全に保全(Preserve)するために最低限必要なステップを規定した指針です。正式名称は「ISO/IEC 27037 - Guidelines for identification, collection, acquisition and preservation of digital evidence(デジタル証拠の特定、収集、取得及び保全に関する指針)」です。

 ご存じの方も多いかと思いますが、ここで簡単に、ISO/IECの組織及び標準化プロセスをご紹介します。ISO/IEC 27037の標準化作業を行っているのはISO/IEC JTC1という団体です。JTC1は、ISO(International Organization for Standardization:国際標準化機構。電気分野を除く工業分野の国際標準(国際規格)を策定する民間の非政府組織。163カ国が加盟。)及びIEC(International Electrotechnical Commission:国際電気標準会議。電気工学、電子工学及び関連する技術を扱う国際標準化団体。82カ国が加盟。)が共同で組織する委員会(Joint Technical Committee 1:第一合同技術委員会)です。JTC1には38個の副委員会(SC:Sub-Committee)が設けられており、その中のSC27が「情報セキュリティの要素、管理システム、サービス技術の標準化(共通的、基盤的な技術関連)」を担当しています。更に、SC27の中には5つのワーキンググループ(WG)が設置されており、今回紹介する活動は、WG4(Security controls and services)の所掌となっています。

 ISO規格は、以下の5段階を経て策定されます。そして、36ヶ月以内に国際規格の最終案がまとめられなければならないと規定されています(発行までは平均して約2.8年)。
 ① 研究段階/新規プロジェクト(Study Period/New Project:NP)
   公式な議論が開始される段階。新たな規格の提案を受けて、各国が3ヶ月以内に賛否の投票を行い、正規会員(Pメンバーと呼ばれている)の過半数の賛成と、5国以上のPメンバーによる審議参加があればNPとして成立する。
 ② 作業ドラフト(Working Draft:WD)
   開発段階。NPとして登録されてから6ヶ月以内に第一次WD原案が作成され、WGで専門家が協議し、登録から12ヶ月以内に委員会ドラフト(CD)を発行する(WDは第一次から第三次まで)。
 ③ 委員会ドラフト(Committee Draft:CD)
   品質管理段階。委員会ドラフト(CD)原案を専門家が協議し、必要な修正を加えた上で、Pメンバーの2/3以上の賛成が得られれば、国際標準ドラフト(DIS)となる。
 ④ 国際標準ドラフト(Draft International Standard:DIS)
   照会段階(ほぼ完成)。DISは全加盟国に照会され、5ヶ月以内に投票を受ける。投票したPメンバーの2/3以上の賛成、かつ、反対が総投票数の1/4以下で承認される。反対がない場合は次の承認段階を省略して発行作業が進められる。
 ⑤ 国際標準の最終ドラフト(Final Draft International Standard:FDIS)
   承認段階(発行直前)。2ヶ月以内の投票期間を経て、投票したPメンバーの2/3以上の賛成、かつ、反対が総投票数の1/4以下で承認される(登録から33ヶ月以内)。ここで承認されれば、正式な国際標準として発行される(登録から36ヶ月以内)。
 以上のようなプロセスを経て、ISO/IEC 27037は現在、FDISとして承認を待っている状態です。

 ISO/IEC 27037とは別に、昨年から協議が開始され、現在は第二次WD(2nd WD)段階にある3つの国際標準案があり、それぞれ並行して議論が進められています。
 ① ISO/IEC 27041「Guidance on assuring suitability and adequacy of investigation methods(捜査手法の適合性及び妥当性を保証するためのガイダンス)」
   インシデントの捜査で用いる手法やプロセスが、捜査目的に合致していることを保証するメカニズムに関するガイダンス。要件を満たした手法が用いられていることを証明する要件定義、手法説明、証拠提供に関するベストプラクティス等を要約する。
 ② ISO/IEC 27042「Guidelines for the analysis and interpretation of digital evidence(デジタル証拠の解析及び解釈に関するガイドライン)」
   継続性、有効性、再現性及び反復性を意識したデジタル証拠の解析及び解釈に関するガイドライン。ある解析プロセスを選択、計画及び実施し、それらのプロセスを精査する場合に必要となる情報を記録するためのベストプラクティスを提供する。また、捜査官の習熟度や適性を立証するための適正なメカニズムに関するガイダンスを提供する。
 ③ ISO/IEC 27043「Investigation Principles and Processes(捜査の原則及びプロセス)」
   デジタル証拠が関与する様々な捜査シナリオを基に、共通の捜査プロセスのための理想モデルを要約する。

 この他にも、e-Discoveryやクラウドコンピューティング、スマートグリッドに関する標準化プロジェクトが、NPとして提案されており、今後の動向が注目されます。

【著作権は山田氏に属します】