第32号コラム:芝 啓真 幹事(株式会社フォーカスシステムズ フォレンジック システム&サービス室)
題:「デジタル・フォレンジックの現場にて」
本年より「技術」分科会の幹事をさせて頂いています芝と申します。宜しくお願い致します。私が初めてデジタル・フォレンジックと出会ったのは、4年前のことでした。当時はセキュリティ分野に関わる事自体が初めての上、更に「フォレンジック」という言葉の意味が全く分からずとても苦労した覚えがあります。現在はデジタル・フォレンジック研究会の活動もあり、「フォレンジック」という言葉も随分浸透してきたと感じています。
さて、現在私はフォレンジック製品の営業を経て、e-Discoveryや調査等の技術的な業務を行なっています。「デジタル・フォレンジックの現場にて」とタイトルをつけましたが、普段の業務を行なっていると、改めて“人”と“セキュリティ”について感じることがあります。
1,2年前、P2Pソフトウェアによる情報漏えいが毎日と言ってもよいほどニュース等で報道されたことは皆様の記憶に新しいかと思います。最近は真新しさもなくなってあまり話題になりませんが、まだ散見されます。これだけニュースになり、おそらく皆様の職場でもかなりの情報セキュリティ教育が行なわれ、業務で使用するPCだけでなく、個人のPCでもP2Pソフトウェアの使用は控えたほうがよいとの認識は全員が持っていると思います。
しかし、「ちょっとぐらいなら・・・」「自分は大丈夫だろう」といった人の心の油断が、P2Pソフトウェアによる情報漏えい事件がなくならない原因の一つとなっています。
また今更の感じがありますが、パスワード管理についても同様のことが言えます。業務に使用するパスワードだけでなく、プライベートでも使用するパスワードを考えると、パスワードを持たずに生活をしている人はほとんどいないのではないでしょうか。
覚えやすいパスワード、短いパスワード、個人情報から簡単に推測できるパスワードを使用することは、極論を言えば、パスワードを設定していないに等しいと考えられます。ご存知の通り、フォレンジックソフトウェアを使用すれば、パスワードを解析することができますし、そのようなソフトウェアを使用しなくても、安易にパスワードが記載されたメールやファイルから、パスワードを簡単に発見することができるのも実情です。
“人はセキュリティホールである”とは、よく言われている言葉です。このセキュリティホールに対する効果的なパッチの一つとしても、デジタル・フォレンジックは活用できます。実際に初めてフォレンジック製品に触れたとき、特に悪いことをしているわけではないのに、自分のPCは絶対に解析対象にしてほしくないと私は強く思ったものです。
「何かすると至る所に痕跡は残り、専門家にかかればどんなことがあったのか容易に分かってしまうらうために、今月開催されるデジタル・フォレンジック・コミュニティ等の研究会活動に少しでも貢献できればと思います。