コンピュータフォレンジック[後編]
フォレンジックで内部不正を発見せよ
守本正宏株式会社UBIC
代表取締役
2005/7/6
前編「内部不正による情報漏えいを許さない」では、コンピュータフォレンジックとは何か、なぜ事後対応が必要なのかといった概要を説明した。後編では、コンピュータフォレンジックを効果的に活用するための運用方法や事例を紹介する。
コンピュータフォレンジックを考えるとき、ほとんどのシステム管理者やセキュリティ担当者は、ITセキュリティを思い浮かべることが多い。ITセキュリティとは、いわゆる不正アクセスの抑止という意味で使用されている。
前編でも述べたようにフォレンジックは、不正アクセスそのものではなく、不正を行った人に対して行われる。そのため、コンピュータフォレンジックは、不正アクセスはもとより不正が発生する可能性があるすべての事象を対象範囲としている。
ITの普及によりほとんどすべての企業活動においてコンピュータが使われる機会が増加した。そのため、不正調査の調査対象や裁判における証拠資料には、コンピュータのデータが必ず含まれるようになった。結果的にコンピュータフォレンジックを使用する必要性も急増している。
図1 フォレンジックが対象とする領域 |
デジタルデータに対する心理 |
人間の心理として、書面になっている機密情報を持ち出すことに関しては罪悪感があり、実行することに抵抗感を持つ。それに比較してデジタルデータは目には見えない形で、しかも小さなメディアに大量保存されているため持ち出しに抵抗感が少なくなり罪悪感も抱きにくくなる。
結果として、「軽い気持ちで持ち出してしまった」という不正の事例も少なくない。「企業内のデジタルデータは企業の財産である」という認識が希薄になっているというのが現実である。
コンピュータフォレンジックによりPCを監査することは、社員が使用しているPCのハードディスクのデータを証拠化し、法的措置が取れる体制が企業側にあるということを社員に示すことだ。なおかつ、ハードディスクの中のデータも企業の財産であるという認識を高められる。それが抑止力へとつながっていく。
コンピュータフォレンジックが対象とする情報リスク |
企業が守るべき情報に関するリスクとして、個人情報の漏えいが話題になっている。しかし、企業が守るべき情報の中には、個人情報以外にも技術情報や販売戦略、顧客リストや製品のコスト情報などさまざまな情報が含まれている。実は個人情報漏えいとそれ以外の情報漏えいには大きく異なる点がある。
個人情報の漏えい事件は、公表されるかどうかは別にして何らかの形でその事実が発覚する。例えば、犯人は盗み出した個人情報を業者に売り、業者はその情報を基にダイレクトメールなどを送る。この結果、見ず知らずの業者からのダイレクトメールを送りつけられた人が告発することで事件が発覚する場合がある。あるいは、漏えいの目的が、漏えいさせたこと自体を自慢することや、漏えいした事実をもって企業を脅迫することである場合は、犯人自らが誰かに周知させることとなる。
しかし、そのほかの情報漏えいでは、漏えいした事実を少なくとも犯人自らが表ざたにすることはない。犯人の目的は盗んだ技術情報やコスト情報などを利用して競合企業(情報を盗まれた企業)より市場競争力をつけることである。そのため、通常は盗まれた企業に情報を盗んだことを絶対に気付かれないように努力する。この努力が実を結べば、被害を受けた企業は情報を盗まれたことに全く気付くことなく、いつの間にか競争力を失っていくことになる。このような不正を“静かなる不正”ということができよう。
訴訟に巻き込まれた際のリスクも非常に大きい。欧米においては、証拠書類として書面だけではなくデジタルエビデンスを提出する。提示手法に不適切なことがあれば、従業員や役員のハードディスクそのものの提出を迫られることもある。
ハードディスクは情報の宝庫である。訴訟案件以外の問題が発覚し、訴訟相手側に有利な情報を与えかねない。加えて、機密情報が訴訟相手側に渡ってしまうこともある。訴訟相手が競合企業であればその損害は計り知れない。
米国ではe-discoveryと呼ばれるデジタルデータ開示の手続きがある。日本企業でも米国での訴訟に巻き込まれる可能性は高く、この手法を知らないと思いがけなく甚大な損害を被ることになる(e-discoveryはコンピュータフォレンジックを応用した手法である)。
事業体による運用方法の違い |
コンピュータフォレンジックの使用目的や運用方法は、それを使用する事業体や組織によって異なる。なぜならばコンピュータフォレンジックを使用する側の目的に応じて調査対象者の属性が変化するからである。
●法執行機関
警察や国税局などの法執行機関では、不法行為に関する事実をコンピュータのデータの中から見つけ出し、証拠化するためにコンピュータフォレンジックを使用する。調査対象者は極めて非協力的である。しかも対象となるコンピュータは、設定変更や被疑者による隠ぺい工作などのアンチフォレンジックが容易にできる状態で被疑者側に保管されているため、調査が非常に困難になるという特徴がある。
●監査法人などの調査企業
通常、会計監査は書類を検査していく。だが、監査の途中で不正の兆候を発見すれば、その情報を精査するために会計データを作成したコンピュータのハードディスク内のデータを調査し、粉飾決算や隠ぺい工作の事実がないかを調査する必要がある。その際にコンピュータフォレンジックが使用される。
また、会計監査のみならず、企業の経営責任を問われかねないさまざま不正行為を調査する際にもコンピュータフォレンジックを応用している。この場合は、外部監査として調査を実施し、時にはインシデントレスポンスを行う。本来、調査依頼者は協力的であるはずだが、時には組織ぐるみの不正行為である場合があり、調査を妨害される可能性がある。
●金融機関を含む一般企業や官公庁
主に内部の不正行為を内部監査という形で調査する場合、あるいは情報漏えいなどの不正行為が発生した後のインシデントレスポンスとしてコンピュータフォレンジックが使用される。
コンピュータフォレンジックにより早期に証拠をつかみ、犯人を特定し、問題を解決に導くことが可能となる。また、機密情報にアクセス権限を持っている社員や派遣社員に対して定期的に、あるいはその社員が退職する際に、コンピュータの調査を行って不正の予兆を見いだし阻止することも可能である。
フォレンジックを使用する部署は、ほとんどの場合が内部監査部門や人事部などである。この場合、あくまでも調査対象者が同じ社員・職員であるため、いざというときのフォレンジック調査が容易に行える体制を事前に構築しておくことが可能である。
●法律事務所や企業の法務部
企業間訴訟における証拠として、コンピュータのハードディスク内のデータを提出しなければならない場合がある。米国では、離婚裁判においてさえもコンピュータデータの提出が求められることが珍しくない。
訴訟において提出すべきデータは限られており、それ以外のデータを提出する必要はない。また、ハードディスクの中には訴訟内容には関係ないが、訴訟相手側も含め外部には絶対に出せない情報が含まれていることも非常に多い。
データを提出する側としては当然必要なデータのみを提出したいのだが、前編に記したようにデジタルデータは非常に書き換わりやすく、取り扱いを間違えると情報を改ざんしたと見なされる。この結果、訴訟上の立場が悪くなり、結果的にハードディスクを丸ごと提出しなければならない事態になる。デジタルデータの情報開示手順を適切に行うことが重要であり、フォレンジック技術を持っているかどうかがポイントである。
1/2 |
Index | |
フォレンジックで内部不正を発見せよ | |
Page1 デジタルデータに対する心理 コンピュータフォレンジックが対象とする情報リスク 事業体による運用方法の違い |
|
Page2 内部不正を暴くフォレンジックの運用方法 内部不正を絶対に許さない |
関連リンク | |
内部不正による情報漏えいを許さない | |
個人情報保護法に備える4つの課題 | |
情報漏えいに備えるセキュリティ投資の目安 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|