コラム第８３７号：「デジタル・フォレンジック考2024」

第８３７号コラム：丸谷　俊博　理事（前IDF事務局長）
題：「デジタル・フォレンジック考2024」

これまで何度か書いてきたことですが、本研究会（IDF）を創設した2004年当時は、日本にデジタル・フォレンジック（以下、DFと略した記述あり）を扱う情報通信系の学会やその内部の部会等も存在しなかっただけでなく、＜デジタル・フォレンジック＞という言葉（単語）自体、検索しても全く出てくることのない非認知状態でした。欧米ではDFへの関心が高まり専用のDF機器や解析ツール等が使われ、重要な【DF手順の流れ＜証拠収集・保全～調査・解析～報告＞】も普及されつつありましたが、日本では警察庁や研究者の一部の方しかDFを知っている方がおられない状況でした。しかしながらこれからの日本でもDFが必ず必要とされるのは間違いないとの先見的な考えに賛同して頂いた有志の方々により2004年8月23日にIDFをNPOとして創設し、以後、20年にわたり（今期は21年目です）DFの普及・啓発に努めて参りました。
※創設時の役員は、IDFの定款末尾の附則に記されている理事・監事の方々となります　　　　　　　　（ https://digitalforensic.jp/home/iDF/teikan/ ）。以後、何名かの役員が個々の事情で退任された他、IDFの活動範囲の拡大に伴い、新たに役員として追加参加して頂いた方々により現在の役員体制　　　　（ https://digitalforensic.jp/home/iDF/yakuin/ ）に至っています。

この20年間に会長は、辻井重男先生、佐々木良一先生、安冨潔先生、上原哲太郎先生へと引き継がれ、＜デジタル・フォレンジック＞自体も社会認知され（検索にも豊富に出てくる）、情報漏洩・窃取、ウィルス感染やサイバー攻撃等のインシデントへの対応、不正調査や監査、訴訟での電磁的証拠の提出等々あらゆるデジタルデータの収集・保全～調査・分析（解析）～報告においての必須技術となっていることは皆様ご認識の通りです。

本コラムに記述した内容については、DF従事者や研究者等の方々には、いわずもがなの既知のものですが、コラムは一般の方々にも閲覧頂いておりますので、更なるデジタル・フォレンジックの普及・啓発の観点からも書かせて頂いたものとなっています。

IDF創設時（2004年）に本研究会では、＜デジタル・フォレンジック＞を【インシデントレスポンスや法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います】と定義しました。当時は、主たる対象は、コンピュータ（HDD）とその周辺のサーバーやLAN等の機器に保存されているデータやログでした（当時のコンピュータ・フォレンジック、ネットワーク・フォレンジック）。それが現在では、クラウド・フォレンジック、モバイル・フォレンジック、メモリ・フォレンジック、IoTフォレンジック等々の“対象物”を頭につけるフォレンジックに範囲が拡大している他、DF手法も膨大なデータ量に対処せざるを得なくなっている状況から、取得・保全した全デジタルデータを対象として実施する本来のDF（かなりの時間と労力を要する）から、初動対応の迅速性を重視して保全や調査対象範囲を絞り事実確認及び分析（解析）と事後処理・対応の短時間化を追求（優先）するファスト・フォレンジック（ご参照：「証拠保全ガイドライン第9版」 https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf　７章７節）が重視（多用）されるようになってきています。

従来からの保全データ全てを対象に実施する＜デジタル・フォレンジック＞も、迅速性を重視して抽出（注目）した取得・保全データ（保全せずに調査を行うライブ・フォレンジックもあります）の範囲を対象とする＜ファスト・フォレンジック＞も、取得したフォレンジック・アーティファクトを証拠性を担保しながら事実・事象を明らかにしてゆく【DFの考え方】自体は変わりませんが、最近は急激な調査対象データ量の膨大化に加え、生成AI技術が発展したことから画像や音声等迄もが、素人でも容易に修正（DF的には改ざん）や生成・創出ができてしまう時代を迎えている（益々発展する趨勢）状況下においては、＜デジタル・フォレンジック＞を取り扱う心構え・考え方（視点）や手順・手法（私がそうあってもらいたいと願っているものですが）も時代環境と共に変化させる必要があるのではないかと感じています。

即ち、それは、DFにおいても【DF用のAI技術】を積極的に適用・活用することにより、不足しているDF技術者（広くはサイバーセキュリティ技術者や管理・指揮者も）のスキル・経験不足を補おうとする考え方で、多大な時間と労力を要するDF技術者の業務負担を軽減し、DF技術者に＜考え、判断する時間＞を多く与え、適時・適切にDFを実施する本来の目的・使命を追求（果たす）してもらえるようにしたいという考え方です。

☆DF用のAIは、使用者（人間）の業務処理量を軽減したり、漏れや人的ミス等を防止する処理を行うために使用しますが、使用者の判断や意思決定を支援する補佐的役割であることは変わりません。状況判断は、使用者（DF実施者）が行い、AIには任せない（参考とはする）ことが重要です。尚、生成AIは、自然な言語対応（応答）に重きを置いており、単語・文章検索・解析や関連検知等を行う目的で使用するDF用のAIには向きません。

また、DF用AIの適用により、熟練DF技術者を含め調査・分析（解析）の際の発生が危惧される〔確証バイアス＝思い込み（スキル・経験の少ない技術者にはよりこの懸念が大となる）〕を避ける、またはそのリスクを低減する効果も期待できます。但し、DF用AI開発の際にAIに判断ロジックや使用手法・手順を教え込む際に参考とする【いわゆる教師データ】の取り込みにおいて〔確証バイアス〕の入り込み（AI開発者の思考に似てしまう傾向）を防ぐよう留意する必要があります。

※画像や音声を生成AIで作成したデジタルデータをフォレンジックするための技術やツールには、＜メタデータ解析ツール＞、＜ディープフェイク検出ツール＞、＜音声分析ツール＞、＜異常検知アルゴリズム＞等々があり、これらも汎用ツール化・製品化努力が続けられ、やがてAIを使って実施されるようになるはずです。

　ここでDFの手順に対応したDF用のAI技術について説明（私見です）しておきたいと思います。

DFでは、下記の１～３の手順を時間の余裕やDF調査過程で変化（要求者への報告後に）した重視情報や要求に基づきループして実施されます（方向・指向・指針が変わることもある）。

１　収集（取得）・保全　→　【従来型のAI技術】を適用する　→　この保全（取得）データを調査・分析（解析）へ提供
　　前工程となる＜収集対象の特定＞を進める際にAIを適用することにより、調査・分析（解析）の対象　　範囲（データ量）を絞り込むこむことができ、結果、所要時間を大きく削減できる効果が見込まれる。

２　調査・分析（解析）　→　【DF専用のAI技術】を適用する　　→　必要があれば時間の余裕のある範囲で、この結果を再度、収集（取得）・保全に戻して再収集（取得）・保全を行う
これにより事実・事象確認の精度を上げ、所要時間を短縮し、結果、労力と費用を軽減できる。
また、ここで得られた事実や事象を反映して収集（取得）・保全の工程に返す（１と２をループ使用する）　ことにより、更に確度や精度の高い事実情報を元に分析・解析を進められるようになる。

３　報告　→　【従来型のAI技術（生成AIを含む）】を適用することも可

※１　【従来型のAI技術】とは、熟練したDF技術者のスキル・経験を反映（教師手順化）して開発されるAIで、まだ、この市販製品は無いです（幾つかのDF専用ツールに一部類似する機能が搭載された製品はありますが、使いこなすためには使用者の能力・スキル・経験に依存する面が大）が、収集（取得）・保全用のAI開発は当該案件に適用可能なタイプ（ケース）設定等の種類を増やせば可能だと思われます。また、報告作成用のAI開発も報告用の書式・形態等を決め、そこに上げる調査・分析（解析）結果内容の形態を整理・指定すれば可能だと思われます。

※２　【DF専用のAI技術】とは、各種対象機器や記録媒体のログ等の調査・分析（解析）は、従来型AIでも可能だと思いますが、DF調査の対象となるデータの主対象は、文書や文章化された記録・報告メール、SNS、論文・文献等の言語データであるため、現状の多くのDF調査・分析（解析）ツールが搭載している「キーワード検索」機能（各製品の性能の差異は、対応言語への対応性能による面が大：IDFでは【日本語処理解析性能】を重視している）ができても、文章検索や単語間・文章間の相関性や語彙類似性からヒットさせる機能の無い（不十分）ものが多いため、調査・分析（解析）AIで使用するものは、＜言語解析機能：キーワード、単語、文章検索ができ且つ相関性・語彙類似性のあるものもヒットできる性能＞を持つものである必要があります。この機能・性能を有する調査・分析（解析）AIを使用することにより、ヒット率の向上だけでなく調査・分析（解析）用対象データの調査範囲の縮小化（精度も上がる）と処理時間の短縮化（＝コストの低減化）が実現できます。更に調査・分析（解析）AIは、収集（取得）・保全データを対象とした＜仮説設定とその検証＞等の、より高次の処理も実施できる可能性を有しています。

DFにおいては、着手時に得ている情報と確認されている事実（場の設定）や解明すべき対象（目的）から、手法や手順、対応要員の役割分担等の方針を決め（推論・仮説、状況判断）、与えられた目標時期（時間）迄にそれらを実施し（その時間内にできることを優先する）、その時点で確認（観測）・分析された事実から、報告や対策（対応）を準備し、その先の調査対象・範囲や手順等の方針を決め実施する。　→　確認（確定）された“点”から幾つかの方向（推論・仮定・仮説、あるいは判断・指示）に分岐してDF調査・解析が続いてゆきます。

このためDFを扱う者（技術系も法律系も含めて）は、正しい（何が正しいかは個々の思想・考え方によりますが）倫理感を持って証拠性を担保しながら事実・事象を明らかにし、それにより適切な判断・処理（収集・保全範囲の決定、調査・解析、対処・指示、報告）を進めてゆく基本スタンスは今後も変わりませんが、DF対象範囲の拡大、対象デジタルデータの膨大化と複雑化等の趨勢から、DF専用ツール（ハード、ソフト共に）の活用や開発の背景としてAI技術活用が必須となる趨勢の観点からも【DF取扱者としての感性】を磨くことも一層重要となると考えます。

これは、DFだけでなくサイバー対応も含め、技術者に必要とされるスキルは、①専門的なOSや情報通信環境等も含めた技術的知識、②デジタルデータの収集、復元や復号化等も含めた知識・技術と高い分析・解析力（感性？）、③各種のプログラミング手法やソフトウェア性能等に関する知識と取扱スキル、④サイバーセキュリティ全般やDFに関する動向やインシデント事例に関する知識、⑤サイバー及びDFに関連する法令的知識（できれば国内外の関連法令や判例等の情報も）、⑥対人説明・折衝（コミュニケーション）能力、⑦報告（法廷での証言等も含む）能力、等が挙げられると思いますが、一番重要な資質は、＜論理的思考に基づく速やかな問題解決（着手方向判断・明示）能力＞と＜適時・適切な状況判断能力：意思決定の素早さを含む＞ではないでしょうか。私はそう思っています。

この＜論理的思考に基づく問題解決能力＞と＜適時・適切な状況判断能力＞に関して今後のDFに関わる方々に求められるものは、下記のようなものであるとの私見を記させて頂きます。これが本コラムで書きたかったDF用AIの活用提言の背景となる考え方です。

DFにおいては、保全したデジタルデータを使い、それを実施したDF技術者と同様の調査・解析手法を使い（使用するDF専用ツールの種類が違っても）、調査・解析結果が同じものとなる（再現性あり）ことが重要（特に訴訟対応では）ですが、この結果に至るまでの過程は、違ったものとなっても構わないはずと考えます。更に言えば、証拠性を担保（事実・事象を追う）しながら見出された途中結果から別の視点や方向を目指して調査・解析を行い、“新たな事実・事象”を明らかにすることもまた正しいDF手法（考え方）であると思います。

＜デジタル・フォレンジック＞もIDFを創設した20年前の2004年当時に比し、はるかに範囲も対象や調査・解析手法等も大きく広がってきたことに鑑み、今後の＜デジタル・フォレンジック＞は、【原本とする保全データ（ライブ・フォレンジックにおいては、取得データ）を使ってDF技術を使って導きだされた事実（確認できた事項・事象）を明らかにし、また、その結果の再現性を保証できるもの】であれば良いと考えています。

つまり、今後益々必須となるAIを活用したDFを行う際にAIに指示（環境設定）するDF技術者（或いは技術者以外の調査・解析指示者も）には、柔軟で多岐にわたる【思考法（感性）】が求められるということになるので、インテリジェンス感覚を磨く努力を行い、またAI活用に関する知見を広めるというものとなると考えます。
※本質的には、AIを使わない従来型のDF調査・解析実施時の考え方も同じだと思います。

【思考法（感性）】と言うと、曖昧で分かり難いものとなると思いますが、物事の見方、考え方は、様々なものがあり一つのものではない、むしろ一つではあってはいけない（［確証バイアス］リスクを低減させる）というものとなります。

DFを取り扱う方は、定法となるDF手法を踏まえた上で、時々刻々変化するデジタル環境の変化に対応したDF手法（AI活用も必須）や対応（即応性を重視したファスト・フォレンジック、ライブ・フォレンジック等）を考え、実施（考え方の構築と試行）する能力が求められると信じます。このため、これからのDF従事者には、様々な分野や思考法を有する方々の参入を期待すると共に参入を歓迎して、増やしてゆく必要があります。多くの分野の方々にもIDF活動に参加して頂き、知見、交流の場を増やして頂きたいと思います。

これからのDF従事者には、技術系の方以外にも監査や管理・監督分野や法曹分野等からの参入を期待、歓迎したいと思います。技術系の方以外でも【DFの考え方】を理解して頂ければ、自らDF作業を手掛けなくても（勿論手掛けても）、DF専門技術者への指示や報告への判断を適切に行うことによりDFを実施することが可能です。またこれをより実現できるようにするためにもDF専用AIの活用促進が求められます。

※日本ではDFに関係する法制度分野の整備と施行は、諸外国に遅れていますが、現実の動向に即し（寧ろ先行して欲しいです）、一刻も早い【e－Discovery関連】や【DFデータの海外流出等を防止：DF安全保障】する法制度等の制定、施行が望まれます。

今後のIDF活動にも技術系の方及び多くの監査や管理・監督分野や法曹分野等からの参入者を期待・歓迎すると共にDF用AIを開発・活用するための情報提供や啓発とAIを活用できるDF人材を育成するための教育・トレーニング環境（受講）を整えてゆくことが求められます。この活動方向へのIDF会員（団体、個人共に）の積極的ご参加やご支援も期待しております。

余談：
【思考法（感性）】に関連しての考え方を私の経験から補足説明すると、私は中学時代にブルーバックス（講談社）の「相対性理論」や「トポロジー」等の考え方に触れ、物事の見方は一律なものではなく、様々な見方があるとの認識を持ちました。高校では、数学の先生から「インドの数学（計算法）」を教えてもらった時に日本での算数や数学での計算方法とは異なる計算方法で同じ答えが導き出せることを知り、答え（計算結果）は同じでも、その解を得るための計算方法（＝考え方）は、色々とあるのだなと実感しました。このため、中学迄は、論理的（理屈？）な対話＝文系（社会科）が好きで先生方からも大学生と話しているようだ（当時は大学生の学生運動もまだ盛んだった時代のため）と言われていましたが、高校からは理系に転換しました。

また自衛隊時代には、空挺レンジャー等の首から下を使った勤務以降は、陸幕の付属組織で戦略情報分析分野に勤務しましたので、収集できたデータ（公刊資料が99％）を蓄積、分析し、明らかに出来た事象（データ解析結果）から対象国の軍事動向や実態の事実を明らかにすると共に情勢分析・予測を行う業務を担当した経験から、所謂＜情報分析＞に興味を感じ、民間に出てからもソフトウェア開発企業で新規事業推進室長として先導的な開発ツールの調査や導入提案を手掛けました。当時新規分野であった暗号関連事業の立ち上げを経て、その後＜デジタル・フォレンジック＞と出会い、DFの普及・啓発と事業化（IDF設立後はビジネス分野は社内に新設された担当部署に移管し、IDF事務局業務：普及・啓発活動に移行）も手掛けてきたという次第になります。
※残念ながら同社では私の退職後にDF事業は社内事情により2022年に撤退となりました。暗号関連事業は続いています。

現在に至っても、特に近年は、相対性理論と量子物理学を統合しようとする考え方が世の中の在り様（宇宙や極微小の世界）やダークマターや真空のエネルギー（ダークエネルギー）等も適切に説明でき、それはまた「色即是空、空即是色」の観法とも一致すると感じています。私が中学高校の頃に学んだ歴史や考古学、古生物、或いは健康・医学的常識他、多くのものが現在は、その当時とは全く異なるものに変化（大きなパラダイムシフトが続いている）してきていること等からも今後の学術（理論・予測や考え方）と検証（実験的実証や観測的事実確認）の発展が大いに期待され、その変化・変貌が楽しみでもあります。

※相対性理論や量子物理学の考え方（詳しくは、それぞれ検索し、関連書等をご参照下さい）
量子状態（量子ビット）は、ゼロ（無）、１（有）、そのどちらでもない状態が重ね合わせられている状態で、それを観測（計算）すると状態が固定される（ゼロや１に）、このため見えている世界は、多重化（粒子でもあり波動でもある）されている、真空の極微小界は“無”ではなく＜斥力＞に満ちているため宇宙は拡大を続けている、そして最近は、超弦理論やホログラフィック宇宙論、等々続々と注目のこの世の仕組みを統合（統一）化して説明する学説が出て来ており、観測（検証）や数学的シミュレーションによる証明が進められ、量子コンピュータ等の実用化も進められている。理論と観測の証明（実証）の代表事例としては、宇宙観測においてアインシュタインが1936年に論文で提示した「重力レンズ効果」が1987年に観測されたことにより、一般相対性理論も証明されたこと等がある。

※学術の世界での、その時点で確認された事実・事象から以後の調査・解析方針（推論）を再設定（構築）し、観測（調査・解析）を繰り返し、事実・事象を解明（明確化・確定化）する。理論（学説）を信じ現実界の観測から実証（証明）する手法（手順）は、＜デジタル・フォレンジック＞の【取集・保全～調査・解析～判明した事実の報告】という科学的DF手順とも共通していますね。

また、最新状況で興味深いのは、量子物理学の世界では、究極の素粒子を探し（見つけ）出し＜統一場理論＞を完成させようとしていますが、これらの著名な物理学研究者（特に宇宙物理学者）の間で【人間原理：宇宙の物理的な特性や初期条件は、観測事象や実験結果が出れば出るほど、偶然の産物ではなく（確率的にありえない）、観測者としての人間がこの宇宙で産み出され存在できる極狭い条件・環境でのみで成り立っており、学術的に考えだされた理論（予測）に一致しているという実証的な観点＝宇宙や物理的世界を認識できる人間が存在しないと宇宙や物理法則等は存在の意味がない】を考えざるを得ない状況も生まれています。今後の動向や発見を興味深く見てゆきたいですね。

最後に
私は、IDF事務局長を昨年2023年の第20期総会で下番（退任）してからも今年2024年3月末（第20期末）までIDF事務局に出勤し、業務の申し送りとフォローを続けてきましたが、4月からは事務局への出勤も終了し、IDFの理事業務は続けていますが＜自由人（年金）＞生活に入りました。この＜自由人＞としての生活も4ケ月余となり、これまでの人生で初めて自由時間が増え、業務責任に追われ（負われ）ない（理事業務を除きます）生活も馴染んできており、日々、体調や体力の回復も図っています。
このため、コラムも事務局長時代は、IDF活動についての報告や予告を書きましたが今回は、20年前のIDF創設時から関わってきた＜デジタル・フォレンジック＞について現在感じて（考えて）いることについて書いてみた次第です。この様な考え方もあるのではないかという理解で読んで頂けたなら幸いです。では、今後ともIDF活動へのご参加、ご支援を宜しくお願い致します。

【著作権は、丸谷氏に属します】