本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
コンピュータフォレンジックってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマは「コンピュータフォレンジック」。セキュリティ対策の最前線で、今最も注目されているテーマの1つです。コンピュータを使ったハイテク犯罪に巻き込まれる前に、企業も個人も、ぜひこの機会にセキュリティ問題を根本から見直してみましょう。

コンピュータフォレンジックとは

コンピュータフォレンジックについて解説する前に、フォレンジック(Forensic)から説明しよう。実はフォレンジックは決して新しい言葉ではなく、「ケミカルフォレンジック」、「バイオジカルフォレンジック」、「フォレンジックサイエンス」という言葉は科学捜査の分野においてずっと以前から使われてきた言葉である。つまりフォレンジックとは「科学捜査」と置き換えることができ、犯罪現場に遺留された毛髪や血痕、破片などの成分を分析して犯罪との関わりを立証したり、事故の発生原因をシミュレーション解析したりすることを指す。

そして、コンピュータを使ったハイテク犯罪が急増してきたことから、コンピュータを対象にした科学捜査が必要不可欠になり、「コンピュータフォレンジック」という言葉が使われるようになった。つまり、コンピュータフォレンジックとは、事件が起きた現場のコンピュータからデータを取得し、それを解析して犯罪が行われた証拠を突き止め「容疑者を特定する」までの活動を指す。
 例えば、不正アクセス事件が起きた場合、既存のセキュリティツールだけでは、そのシステムで犯罪が行われたことを立証することは困難だ。たとえ、不正アクセスの痕跡がアクセスログに残されていたとしても、それが法廷で証拠として認められ、容疑者の特定にまで至るかどうかは別問題だからである。意地悪な言い方をすれば、自分たちの都合のいいようにアクセスログが改ざんされる可能性だってある。こういった状況に対処するためにコンピュータフォレンジックに役立つ専用ツールも登場しており、これを使えばどんなに被害を受けたデータでも不正アクセスの様子を追跡して、法廷での証拠能力を保持した分析レポートを作成することができる。

すでにコンピュータフォレンジックは、いろいろな事件の解明に貢献している。例えば、米国で急成長を遂げたエネルギー会社エンロン社が大手会計事務所アーサー・アンダーセンと共謀して帳簿を操作し、偽りの情報を開示し、その後倒産に追い込まれた「エンロン事件」の解明にもコンピュータフォレンジックが活躍した。

コンピュータフォレンジック」はこうして容疑者を特定する!

実際のコンピュータフォレンジックがどのようなプロセスで行われるか、ここでは顧客情報の流出事件を例に挙げながら説明しよう。

1)コンピュータの証拠保全

まず、顧客情報が流出した現場のコンピュータと、顧客情報を取り扱える関係部署のコンピュータに対して証拠保全を行う。ここで証拠保全とは、証拠が処分されるなどして失われる恐れがあるとき、先行して証拠を押さえてしまう手続きのこと。コンピュータのデータは簡単に上書き・消去が行えるので、この手続きは必要不可欠だ。具体的には「Sanitization Step」と「Acquisition Step」という2つのステップで証拠保全を行うことになる。
 「Sanitization Step」は、証拠取得に使うマスターハードディスクドライブ(HDD)をクリーンな状態にしておく作業だ。例えば、犯行を裏付ける痕跡が残されていたパソコンのHDDから証拠となるデータを取得(コピー)したとしても、もし証拠用マスターHDD自体にデータが残っていたら、その時点で証拠用マスターHDDの法的証拠性は失われてしまう。
 次の「Acquisition Step」は、捜査対象のコンピュータのHDDから実際にデータをコピーする作業だ。実はこの作業には多くの困難が伴う。例えば、パソコンは起動しただけで150Mバイトのデータが書き換わってしまうことから、捜査対象のコンピュータ上での操作はデータの証拠性を失う危険性が非常に高い。そのため、捜査対象になるコンピュータ上での操作はすべて禁じられている。ICS社のLinkMASSter2など、現在市販されているコンピュータフォレンジック製品を使えば、コンピュータを作動させることなくデータをコピーすることが可能だ。
 また、一字一句誤りなくデータを正確にコピーする必要があるが、これにはハッシングという方法が使われている。ハッシングでは、もし1文字でもデータが異なるとハッシュ値がまったく違うものになるので、正しくコピーされたことを確認できる。

図1 コンピュータの証拠保全
図1 コンピュータの証拠保全

(資料提供:ユニバーサルビジネス インキュベーターズ)

2)データ解析

捜査対象のコンピュータからデータを取得できたら、コンピュータフォレンジック製品として市販されている解析ツール(アクセスデータ社のForensic Toolkitなど)を使って、不正に顧客情報が取り出された痕跡が残されていないか解析を行う。例えば、いつフロッピーディスクやCD-Rを出し入れしたとか、その時どんなデータをどのようにコピーしたのかまで詳しくチェックし、犯人を特定していくわけだ。

3)レポート作成

最後に、証拠となるデータ(例えばアクセス権限のない社員が使っていたパソコンのフロッピーディスクに顧客情報をコピーしたという痕跡)を取り出し、解析実施記録を添付して証拠レポートを作成する。米国の場合、解析結果をCDまたはDVDに収録したものを3部作成し、法廷、弁護士、検察にそれぞれ1部ずつ提出することになっている。

図2 データ解析・レポート作成(アクセスデータ社のForensic Toolkitを使用した場合)
図2 データ解析・レポート作成(アクセスデータ社のForensic Toolkitを使用した場合)

(資料提供:ユニバーサルビジネス インキュベーターズ)

これからの「コンピュータフォレンジック」

米国では、1990年代後半から警察内部にコンピュータフォレンジック部隊が発足し始め、それ以来、ハイテク犯罪捜査を支援する形で各種ツールやオペレーションが発達・成熟してきた。日本国内においてもハイテク犯罪捜査の現場に、早急にコンピュータフォレンジック環境を整備する必要があるだろう。

1)企業のセキュリティ部門

企業のセキュリティ対策として、コンピュータフォレンジックは非常に有効な監査手段を提供してくれる。例えば、定期的または退職時にパソコンを監査するルールを作る。この場合、フォレンジックは不特定多数の中から不正行為を探し出すことが目的となり、フォレンジックの存在だけで不正行為の抑止力となる。

2)訴訟対策

コンピュータフォレンジックは訴訟対策の1つとしても、今後非常に重要な存在になる。例えば、訴訟を起こされた場合、相手のデータの証拠能力に関する反証を行う必要があるが、その場合、コンピュータフォレンジックの知識と技術が訴訟の明暗を分けることになりかねない。

3)企業調査

例えば、取引企業が倒産した場合、最初に押さえるべき重要な物品の1つにコンピュータが挙げられる。なぜなら、コンピュータの中に重要な隠し資産情報が入っている可能性が高いからである。このようなケースでも、証拠能力を保持したデータをコンピュータフォレンジックで取得・解析する技術が求められる。

4)民間の「コンピュータフォレンジック捜査官部隊」や「フォレンジック・ラボ」の創設

不正行為がここまで増えてくると、もはやコンピュータフォレンジックは民事等の分野などにおいても必要不可欠なものとなり、それら全てを警察などの法執行機関だけで担うのは不可能となってきた。そこで、例えば今回取材したユニバーサル ビジネス インキュベーターズ社では、民間レベルの捜査官部隊およびフォレンジック・ラボの創設を提案している。捜査官部隊では、企業に対し定期的なコンピュータの監査を実施することで不正を抑止する。フォレンジック・ラボでは、コンピュータだけではなく、ビデオ、オーディオ、携帯電話、プリンタなど、全てのデバイスに対するフォレンジックを可能とする設備を備える。そこではトータルソリューションとしてのフォレンジック・システムの開発も行っていく。フォレンジック・ラボなどの創設により、日本もセキュリティ先進国へと発展していくことが期待されている。

取材協力 :株式会社ユニバーサル ビジネス インキュベーターズ

掲載日:2008年11月25日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2004年07月21日掲載分

検索

このページの先頭へ