第352号コラム:守本 正宏 理事(株式会社UBIC 代表取締役社長)
題:「干草の中の干草を見つけるために」

 米国民事訴訟や独禁法対応でのディスカバリにおいても、情報漏えい事件等に対する不正調査においても、証拠を見つけるという事が非常に重要な作業であることは言うまでもありません。

 デジタル・フォレンジックの世界では、証拠を見つける作業を“大量の干し草の中から一本の針を見つけるようなもの”や“砂漠の中から米粒を見つけるようなもの”などと言います。しかし最近、“大量の干し草の中から一本の針を見つける”という表現は正しくない、と強く思うようになりました。なぜなら、大量の干し草の中から一本の針を見つける事は一見不可能に見えますが、もし非常に強力な磁石を使って全ての干し草を精査すれば、比較的容易だと言えるからです。

 ちなみに、砂漠の中から米粒を見つけるようなものだという表現も、干し草の中の針ほどではないですが、やはり間違っていると思います。人間には難しいでしょうが、動物であれば人間よりはるかに優れた嗅覚などを用いて、砂漠の中の米粒を見つける事が可能だと考えるからです。

 確かに、中には一本の針や米粒のような、明らかに周りとは異質のものが存在する場合もありますが、実際の証拠探しの中の多くのケースで証拠は、“干し草の中の、少し違った形の干し草”や、“砂漠の中の少し密度の違う砂粒”のような形で隠れていると言えます。具体的な例として、重要データにアクセスする、メールで送る、といった行為を挙げると、その中には、業務上権限のある人が正当に行った行為もあれば、図利目的で実行されたものもあり、それらを行為のみで区別することは物理的に不可能に近いと言えます。つまり、実際の証拠は、磁石や動物(デジタル・フォレンジックの世界で言いかえれば、キーワード検索やコンセプトサーチ等の改善・応用)だけでは見つけるのは困難だという事です。

 そのため、結局必要になるのが、不正調査や訴訟対応の経験のある、エキスパートによる精査です。経験のあるエキスパートなら、普通の人では区別がつかないような文章を読んでいても、ある程度“怪しい”“匂う”とわかるようです。(しかし多くの場合、その判断の根拠を言葉にすることは難しく、彼らの頭の中だけの暗黙知となっています。)

 しかし、そのエキスパートでも大量の情報を全て読むのは不可能です。仮にキーワード検索などで絞り込んだとしても、網羅性を高めるためには大量のデータを抽出し確認してもらう必要があるため、結果としてエキスパートの負担は非常に大きくなり、人間であるエキスパートはやがて疲れて精度も速度も落ちます。それを補うために他の人が参加したとしても、そもそも同じような精度が出るとは限らないため、判断の品質を保つのは容易ではありません。

 データ量が少ないうちは何とか力ずくでこの問題に対応できましたが、テラバイト級のデータを扱う事が少なくない昨今の現状では、とても力ずくだけでは対応できなくなってきています。エキスパートの言葉にならない判断力(暗黙知)を活用するためには、これまで以上に人の力とITとの融合が求められていると言えるでしょう。デジタルとアナログの境界線を如何になくしていけるかが、ビッグデータ時代のデジタル・フォレンジックに求められるソリューションだと言えます。

【著作権は、守本氏に属します】