第30号コラム:丸谷 俊博 理事・事務局長(株式会社フォーカスシステムズ 新規事業推進室 室長)
題:「第5回デジタル・フォレンジック・コミュニティ開催に向けて」
来る12月15日(月)、16日(火)の二日間、第5回目となるデジタル・フォレンジック・コミュニティ2008が開催されます。IDF設立後、5年目となる現在では、“デジタル・フォレンジック”という言葉もセキュリティ関係者や研究者であれば周知の用語として定着してきました。その適用分野や概念的にカバーする範囲も当初の“捜査・調査”主体のものから、内部統制やコンプライアンス等の“監査用証拠”の確認・検証・評価手段として、また、各種ITリスクへの事前防止やインシデントへの即応手段(※1)として、更には収集したフォレンジック・ログの経営分析への活用等の積極的な使用も始まっています。今後は、M&A検討の際の財務・資産調査や自らの情報公開等の裏付け証明としての適用や訴訟処理に関しても米国での“e-Discovery(訴訟の各当事者は互いに相手方に手持ちの電磁的証拠や情報を開示しなければならない)”の様な形態への対応も求められる趨勢となるものと思います。
日本では、残念ながら電磁的記録やその取扱に関する法整備や対応出来る人材の育成・確保が遅れております。日本の法整備は“制定法”として整備されるためどうしても時間が掛かり、法整備だけでなく検察側や弁護士側等の担当当事者もITの急速な進歩と普及(利用)に追いついてゆけていない感は否めません。特定のインシデントへの対応を急務とする法整備においては、“判例法”的な法整備も必要となってきていると思います。尚、法整備は遅れてもデジタル・フォレンジックによる事実解明結果は、法に基づく“証拠”としては認められなくとも、裁判官や今後の裁判員制度での裁判員を含み当事者があらゆる意志決定や判断を客観的且つ論理的に行う際の“証明力”となりうるとの認識(意見)は、IDF役員等でのコンセンサスとなってきております。
一方、捜査機関やIDF会員企業の様にデジタル・フォレンジックの知見と技術に習熟し、実務経験を積んだ人材も育ってきております。
今回の第5回デジタル・フォレンジック・コミュニティ2008では、「グローバル化に対応したデジタル・フォレンジック ― ITリスクに備え、信頼社会を支える技術基盤 ―」をテーマに掲げると共に上述のような動向をIDF会長辻井重男先生のご挨拶に続き、IDF理事の佐々木良一先生が基調講演を行い、証券取引等監視委員会の佐々木清隆氏、日経新聞法務報道部兼政治部編集委員の三宅伸吾氏、提携団体である日本セキュリティ監査協会(JASA)WG3主査の織茂昌之氏にそれぞれの立場から動向及びデジタル・フォレンジックの役割や有用性についてご講演頂きます。
また、経産省情報セキュリティ政策室の清水友晴氏からは、情報セキュリティガバナンスの確立等の促進事業政策、日立製作所の甲斐賢氏からは、その確認手段ともなる企業活動証跡管理(エンタープライズ・フォレンジック)の調査・研究成果等をご講演頂きます。
IDFからは、「法務・監査」分科会が担当する「研究会」において“米国型e-Discovery”を日本企業が民事訴訟に巻き込まれた場合のモデルケースを設定して解説を行い、「技術」分科会は、「最新技術動向説明会」にてデジタル・フォレンジックの最新技術・製品について紹介を行います。また、IDF団体会員で理事でもある(株)UBICの守本正宏氏からは、米国支社での実務に基づいた米国のe-Discoveryにおける訴訟支援ビジネス業界の現状について報告してもらいます。
この様に今回のデジタル・フォレンジック・コミュニティ2008は、今後の日本におけるデジタル・フォレンジックの適用や活用等についてビジネス面等でも示唆に富む内容となっておりますのでIDF会員のみでなく、多くの参加される方々に取りましても有益な場となるものと思います。
さて、今後のデジタル・フォレンジックの展開を考えて行く場合に、上述の“証拠力”、“証明力”の他に重要なキーワードとして“信頼(力)、信用(力)”が重要となって来るだろう、その“信頼(力)、信用(力)”とは何で証明(保証)される(裏付けられる)のか?と言うことがIDF役員等での話題となっています。
これは、今後、急速に利用が進むと考えられ、IT技術・製品の供給企業側からだけでなく政策側からも促進策が進められている「クラウド・コンピューティング(現在の中味は、ASP・SaaS、PaaS等のXaaS(※2)導入やシンクラインアント利用の拡大が主ですが)」を例に取って説明すると分かり易いので言及しておきます。
「クラウド・コンピューティング」は、リーディングであるコンシューマー向け最大手のGoogleやSalesForceだけでなくIBM、SunMicroSystems等の大手ハードやシステムベンダー、Microsoft等の既存の大手ソフトベンダーも主導的に提唱と普及促進を図り、また自らの社内業務体制等も既にクラウド、またはクラウドへ移行しようとしている趨勢にあります。日本の大手ITメーカーやSIベンダーもこれに追随する動きを示しています。
※SI専業企業でさえ、顧客との要求確定(要件定義)後の基盤設計や性能設計、開発用機器や開発環境構築、必要となるソフト(ツール)やアプリ、更には開発要員等の人的資源迄もクラウド(ワールドワイド)の中で調達、アサインすることが図られようとしています。
「クラウド・コンピューティング」の特徴は、単純な図式で言えばユーザー側は、これまでの様な自社設備保有やシステム開発とその後の維持管理を行わなくとも、インターネットの世界に存在するハード、ソフト、データ保管等の諸資源をサービス提供側のメニューから必要なものを選び、それらを構成して自らの業務に必要なシステムを構築(カスタマイズだけでなくパーソナライズ対応も可)することができ、それらの使用量に応じた従量課金で支払えば良い、というものです。これにより各種設備・環境構築費用、システム調達費や開発・維持費を大幅に削減し、開発・維持管理要員、設備管理やセキュリティ管理要員等を不要とするというものです。現時点では、これらの具体的なサービスは、ASP・SaaS、PaaS及びデータセンター等によって提供されています。
我々を含めセキュリティに関心のある者は、ハードもソフトも回線環境もデータ保管もサービス提供側に依存し、自分達が作成や収集した各種データが世界のどこを流れ、どこに保管されているのか、それらの通信・保管の際の窃視・クラッキング防止や暗号化等の各種セキュリティ対策、そしてサービス提供業者側が収集できてしまう利用者の個人情報や検索傾向、購入物や嗜好、趣味・癖等に関する属人的プライバシー情報迄が集められてしまうこと等が当然気になります。しかし、クラウド(ASP・SaaS、PaaS)を利用しようとする大多数のユーザーは、それらに“強固なセキュリティ”が確立されているかどうかの確認・検証や保証を求めるよりも、“利便性”を最優先に考えているようです。
Googleは、同社のクラウド(Google Apps)での“セキュリティの保証”に関しては、①世界で4番目に大きいサーバー(ストレージを含む)メーカーとなっている、②常時、数千億のトランザクション処理を行っている、③数百万のクレジットカードを取り扱っている、④数百万人の個人情報を預かっている、⑤Linuxによる独自開発の強固なシステム・プログラムやアプリを使っている、⑥利用されていないポートやサービスが存在しない、⑦システム全体を即時アップデートしている、を挙げています。また、「SafeHarborプログラム」にも参加しOECDやSAS70TypeⅡ(※3)での外部監査でも認められたサービスであるとも述べています。つまり、各種事故も発生するかも知れないが、ユーザーは、具体的なセキュリティ確保の確認・検証や保証を求めるよりも、この“実績”を持って“安全と信頼の証”と考えて欲しいと述べています。
このことは、クラウドのサービス提供企業側とユーザー間では、これらの仕組みを利用(契約)する際にSLA(Service Level Agreement)を交わすこととなりますが、そのSLAにデジタル・フォレンジックを適用した(する)項目が含まれているべきだと言うことができると思います。デジタル・フォレンジックを適用した各種の確認・検証手段や調査・監査手続きがSLAに記載されていればユーザー側はより安心感(安全性=セキュリティ確保への裏付け)を得ることができるはずです。また、SLAにデジタル・フォレンジック関連記載が含まれればサービス提供側は、法令遵守だけでなく「お客様への約束」等の社会的に公言したことまでを含む“安全と信頼”への対応や保証及びCSR(企業の社会的責任)を果たすことへの表明ともなると思います。
現在、ASP・SaaS認定等の認定制度はあってもインシデント発生時の対応保証や損害対応は含んでおらず、サービス提供企業もSLAで顧客に保証しているのは、稼働保証中心の記述となっているものが大半だと思います。また、顧客への“約束”は、訴訟時においては、“責任あり”と裁定される可能性がありますが、この“責任あり”と裁定された場合でも損害や被害そのものを補償するものでは無く“慰謝料”的な補償となっているようです。但し、米国事例によればインシデント発生時に訴訟に負け巨額の賠償金を支払わされるケースもあるようですので、デジタル・フォレンジックを組み入れたシステム構築(ネットワーク・フォレンジックで対応)やインシデント発生の際に迅速に事実解明ができそれを元にユーザーや社会への説明及び訴訟対応を可能にするコンピュータ・フォレンジックの準備は、“強固なセキュリティ”構築のための費用や訴訟対応経費等よりも安価で済むはずですのでサービス提供業者側でもその様に準備すべきものだと思います。
尚、SLA等の妥当性・信頼性の客観的または標準的な検証・保証手段も必要とされるはずですので、この点は官公庁等による認定・認証制度等によるサービス提供業者、回線業者、データセンター等の“信頼度保証”施策や実際にインシデントが発生した際に迅速に対応するデジタル・フォレンジック・チームの準備(専門業者との契約)等もサービス提供業者の“信頼度”を高めるのに役立つ(“事実に基づいて正しい判断を下す”ためには、やはり事実を明らかにするデジタル・フォレンジックの手段や手順が必要となる)はずです。
この様にデジタル・フォレンジックがクラウドサービス提供企業側に準備されていれば、それを利用する使用者(ユーザー)は、各種端末を操作するだけで、システム、アプリケーション、ネットワーク、サーバーやストレージ等の安全性やデータが流れる経路・保管場所、暗号化等の各種セキュリティ対策等を意識する必要は基本的には無くなります。それらはサービス提供企業の“信頼(力)、信用(力)”により担保され、インシデントが発生してもデジタル・フォレンジック技術によって被害を局限し、速やかに事実を明らかにできるという“安心感と信頼感”で保証されます。
雑感:荒野に住む民族と違い日本人は、古来、里山や鎮守の森に囲まれた安全で信頼感のある環境で育ち、責任を明確にすることを嫌う集団社会・文化の中で生活してきたため、セキュリティ確保に関する事柄に対しても自他共に自ら厳しく注意し、気を配ることは、できればしたくない民族であると思います。このためクラウドを“鎮守の森(熊や狐や狸・狢等もいますが)”と考え、それに対しても危機意識を持つことなく、ネットワーク及び各種IT機器・環境の使用も“利便性”を求める(享受する)ことを優先してゆくと思います。この安心感・信頼感を保証するためにもあらゆる分野でのインフラとしてデジタル・フォレンジックの適用が図られて行くべきであると考えます。
これらの動向や将来を考える上でも第5回目デジタル・フォレンジック・コミュニティ2008へ多くの参加者があり、議論が活発化することを期待しております。
※1 インシデント・レスポンス(コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。)や法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。
※2 SaaS:Software as a Service。PaaS:Platform as a Service。XaaS:よろず、サービスが主体。
※3 SAS70TypeⅡ:Statement on Auditing Standards No701992年に米国公認会計士協会(AICPA)が定めた、外部の委託者に提供される業務(受託業務)の内部統制を評価し、委託者等に対して情報提供を行う独立監査人の業務についての基準。日本においても2000年に日本公認会計士協会から監査基準委員会報告書「委託業務に係る内部統制の有効性の評価」が公表され、金融庁からは、2006年2月20日に「主要行等向けの総合的な監督指針」で外部委託業務に関する監督を強化することが示されている。
【ご参考:これまでのテーマと副題】
第1回「デジタル・フォレンジックの目指すもの – 安全・安心な情報化社会実現への挑戦 -」
第2回「デジタル・フォレンジックの新たな展開 – コンプライアンス、内部統制、個人情報保護のための技術基盤 -」
第3回「J-SOX時代のデジタル・フォレンジック – 信頼される企業・組織経営のために -」
第4回「リーガルテクノロジーを見据えたフォレンジック – IT社会における訴訟支援・証拠開示支援 -」
第5回「グローバル化に対応したデジタル・フォレンジック – ITリスクに備え、信頼社会を支える技術基盤 -」