いまから10年ほど前、アメリカでのハッカーの集まるカンファレンスで、現役の弁護士が「捕まったらどうすればいいか」を講演していました。自分の無実を証明できるようなログの改ざん方法や、「自供してはいけない」という助言など、具体的な内容でした。
現在の日本のフォレンジック関連の法的な整備状況をよく知っていれば、「こうすれば罪にならない」とか「このログはまずい」と知恵をつけることも可能ですし、今後はそのようなやからが、思い付きではなく、周到な準備をした上で情報漏えいを行うことが増えるのではと考えています。
もし、周到な準備をして、社内から顧客情報や機密情報が盗まれてしまった場合には、犯人の特定が非常に困難になるばかりか、否認することやアリバイ作りなど、いわゆる普通の犯罪と同じような対応が迫られることになります。
しかしながら、現状で行われているフォレンジックサービスなどは、技術的な対処に重点が置かれたものが多く、法的な対応を視野に入れた対応までを行うサービスはまだ少数です。そして法的な対応ができる弁護士も、とても少ないのが現状でしょう。さらに問題なのは裁判官にITが苦手な場合が多い、ということです。ITといってもフォレンジックの話は、ITの技術者であっても特殊な技能とされていますから、ディスクの解析結果やログの信ぴょう性などを法廷で争うようになるのはまだまだ先のことのように思えます。
最近よく注目されるようになったログですが、ログそのものの信ぴょう性について議論されることはほとんどありません。「ログがあれば」「ログは必要です」などといわれてはいますが、ログそのものが正しく情報なのか、改ざんがないのか、不足がないのか、ねつ造ではないのかなどについては、まだまだこれからの課題です。
現状では、ログの時間すら正確なものなのかどうかが分からないことが多いのです。例えば、「NTPで合わせているから正確な“はずだ”」「PCの時間は勝手に操作できないようになっている“はずだ”」など類推されることが多いのです。ログの統合管理システムを使ったとしても、PCで取られた操作ログの時間が、PCの時間になっていることもあります。PCの時間が正確かどうか、確かにその操作は行われたものなのか、ログがすべて残っているという保証は、など技術的に法廷で論争になった場合には課題が山積みといえるでしょう。
ログというものは犯人を特定する重要な証拠ではありますが、例えば肝心な部分が欠落“させられている”ログであれば、むしろ本人のアリバイを証明することになってしまうことにもなってしまいます。○時○分にデータのダウンロードを行った、とサーバに記録があっても、PC側でその前後の操作ログがあるにもかかわらず、肝心のその部分だけが残されていない場合、「やってない」という証明になってしまう可能性があります。
つまりログを取るからには、改ざんも抜けもねつ造もあってはならない、ということなのです。特に情報を抜き取る作業はPCから行うことが多いことから、ログの信ぴょう性を確保するにはかなり困難なことだと思われます。
現状のPC関連のログを取得する製品には、そこまでの要件レベルは組み込まれていない場合がほとんどです。PCのすべての操作をログに正確に取ることは技術的には非常に難しく、さらにそれを信頼できる状態で保存することは技術的には困難です。LANにつながっていればネットワークでログ情報を連携することも可能だと思われますが、その接続先も偽装されて別のマシンに誘導されてしまうことも考えられますし、ローカルのハードディスクに保存するためには暗号化しておかなければいけませんが、それも消されてしまうかもしれません。
また、PCの操作を記録するといっても、ある手順は記録できてもある手順は見逃してしまう、など、そもそものログの取得能力に各製品にばらつきが大きいのです。見逃しや誤報が多いのはセキュリティ製品の常ですが、PCの操作ログについてもまだまだこれからといえるでしょう。
「なんとなく取る」から「犯人の特定のため」「法的対処まで視野に入れて」ということを考えるのであれば、製品やサービスそのものが変わっていくことになると思います。そのような場合には、ログの取得システムの堅牢性、正確性、ログレコードの信ぴょう性が問われることになります。法的対応を前提としたスタッフもそろえることになるでしょう。
【関連記事】
セキュリティ、そろそろ本音で語らないか(10)
誌上セミナー「拡大を続けるログ砂漠」
http://www.atmarkit.co.jp/fsecurity/rensai/talk10/talk01.html
Copyright © ITmedia, Inc. All Rights Reserved.