デジタルフォレンジック調査のピーシーキッド
フォレンジック調査の留意点
デジタルデータの証拠性を保持するために留意すべきこと
組織の信頼性を保持する上で、インシデントが発生した際に留意することは、民事訴訟等に備えるためになるべく「早く」「正確に緻密に」証拠を積み上げることです。
社内不正にはさまざまな種類の案件がありますが、例えば近年増加の一途を辿る「情報漏洩」にスコープを絞ってみましょう。情報漏洩のインシデントが発生した場合、不正者は誰か、 どの程度のデータが流出しているか、予想される被害額はどの程度か、経路はどこか、協力者はいるかなど、思い込みでない具体的な証拠集めが必要となります。また、計画中や途上であれば、未然に防ぐことや被害を最小限でくい止めることも考えなくてはなりません。そのためにも情報提供者がいたり、不正を怪しむ声や何らかの疑わしい事象がある場合、組織の管理者は、冷静にかつ早急にどのような対処方法があるか考える必要があります。公認不正検査士(CFE)などにご相談されるのが一時間でも早いほうがいいのは、初動が大事になってくるためでもあります。膨大な事例や行動心理学を熟知したCFEが、証拠保全のために関係者や組織の管理者がどのように振る舞うべきかなどのアドバイスも差し上げるようにしています。
また、デジタルフォレンジックを依頼する場合の大事な留意点の一つに、「調査対象となるデバイスには、なるべく手を触れない。」という注意点があります。依頼者などがPC操作を行った痕跡の除外はログ解析などでできる場合もありますが、できるだけ調査対象の機器には手を触れないようにしていただきたいということが、証拠保全のために事前にお願いすることの一つになります。PCなどのデバイスに残された痕跡は不正者の行動の裏付けを確実に示してくれます。それを証拠としてまとめ上げるのが、当社が得意とするデジタルデータを扱い、収集や分析を行うデジタルフォレンジックの手法です。デジタルフォレンジック調査の対象は主に以下のようなものになります。
- パソコン
- サーバ
- 防犯カメラ
- ルータ、NASなどのネットワーク機器
- USBメモリや外付けHDD・SSDなどの外部記憶装置
- 電子メール
- ペン型カメラ、時計型カメラ
- ブラウザ(閲覧履歴、検索履歴など)
- ドライブレコーダー
- SNS
デジタル証拠の保全とドキュメント化
現在、全ての社会生活において、PCをはじめとするデジタル機器の使用は切っても切り離せないものになってきています。何らかの問題が生じたときにその証拠を対象機器から取り出せなければ、また、取り出した証拠のドキュメントが法的に有効とみなされなければ、社内不正案件におけるあらゆる裁判において、正しい判決は出せないと言っても過言ではありません。但し、フォレンジック調査の技術と、刑事もしくは民事の裁判の融合においては、未だ数々の問題点や難題を積み残しています。デジタル証拠の保全→識別→抽出→ドキュメント化という各段階それぞれに裁判資料としての証拠の有効性を立証するための問題点は急速なデジタル環境の変化と共に増加の一途です。
フォレンジックの作業においては保管の継続性を保つために慎重に作業を行うことが重要です。PCのデータは揮発性が高く取り扱いを間違えると大きな問題となります。例えばPCの電源をONにするだけで簡単にハードディスク内のデータが書き換わってしまい、証拠性が失われてしまいます。それだけにフォレンジックの作業をする者は証拠保全に対する専門的な知識を求められます。
企業内にインシデントが発生した場合、フォレンジック調査の最初のステップは、当該機器のデータの物理コピーを取得し、ミラーイメージを作成。ハッシュ値を比較しながら、完全なコピーを作成することが非常に重要になります。フォレンジック調査を行う際、デジタルデータの証拠性を保持するには、常にオリジナルデータに対して書き込みを行わないように、書き込み防止装置を接続し慎重に取り扱う必要があります。さらにデータを取得、解析、調査、保管するために移動させる必要がある場合にも常に移動前と移動先でデータの書き換えがないか、同一のものであるかを確認する必要があります。そのために、データをコピーする際、特殊な技術を用いることにより、通常のコピーでは不可能な100%同一なコピーを行い、さらにハッシュ関数と呼ばれる特殊な関数を使用して、複写したデータとオリジナルデータの同一性を証明し、保管の継続性を証明します。
解析の段階では、専用のツールを使い、消去されたデータ、ファイルスラック、スワップファイルなど夥しい領域からデータを抽出します。抽出したデータは、バイナリファイルや、一般的でない拡張子のファイルもあるので、それを人間が理解できる形に変換する必要があります。
Chain of Custody(保管の継続性)とは
Chain of Custodyとは物品の流通においてその過程を保証するものです。電子的証拠が法的に有効とみなされるために、記録媒体の取扱者、作業のプロセスと日時などの記録を以って、正常に管理できているという証明を指します。一般的には手続き自体や一連の文書を意味します。
例えば、Evidence(証拠)のハードディスクを現場で取得して当社のフォレンジック・ラボに持ち帰り、調査・ 解析を行い報告書にまとめたとしてもそれだけの作業では、現場から当社までの輸送の間に別のものに入れ替わった可能性は否定できません。さらに証拠として提出するデータに関しても調査中の改ざんの可能性を否定できません。その問題を解決するためにChain of Custody認証(CoC認証)が存在します。Chain of Custody認証とは、対象機器からデータを保全する段階をスタート地点として証拠となるデータを抽出・解析後、調査報告書を裁判所に提出するまでの証拠の管理状況、管理した場所、移動した場合はその場所や時間の記録など、証拠データが変更・改ざんされていないことを確実に立証するための詳細な記録です。
当社はChain of Custodyを実現するためにハッシュ値を用いて作業を行います。 Evidenceデータの移動をする毎に必ずハッシュ値を取ることによりそのデータの証拠性を保証しています。CoCのために用いるハッシュ値とは、あるデータをハッシュ関数へ通すことによって得られる値であり、そのデータを少しでも書き換えてしまうと得られるハッシュ値は全く違うものになってしまいます。 そのため、移動前のデータと移動後のデータのハッシュ値を比較し、一致することを確認することによってデータの同一性を確認します。もともとハッシュは、切り刻み、混ぜるという意味の単語ですが、入力データを切り刻み、出力となるハッシュ値の分布が一様になるように混ぜた形で出力することからハッシュ関数と呼ばれるようになりました。一般的に使われているハッシュ関数はCRC32、MD5、SHA-1、SHA-2と呼ばれる関数が存在します。データの改ざんがないことの証明や、デジタル署名、暗号化の補助などに使われます。
現代社会の背景
近年、個人情報保護法や新会社法、日本版SOX法等により企業内での監査の重要性が増しています。情報漏洩や企業内での不正はまさに企業にとって致命的な問題です。実際に問題が発生した際、多くの場合証拠となるメールや書類などがPCから証拠隠滅のため削除されていたり、またPC内の情報が膨大な量であったりと調査はなかなか進まないものです。その上これらのデータを信頼性のあるデータとして取り出さなくては証拠として機能しにくく、調査は困難を極めます。これらの問題を解決する上で、現在ほぼ全てのケースでPC等の情報を目的に沿って読み出し、Evidence(証拠)として取り出すことが重要になっています。
現在のデジタルデータは十数年前のデータとはその形式が変わってきており、調査する際、そのデータを見れば全てが簡単に分かるというわけにはいきません。デジタル環境の変化により使用者が便利になる一方、データ自体はどんどん複雑化しています。また、レジストリなどといった通常のPC操作ではあまり目にしないようなデータに対しても解析していくことが、デジタルフォレンジックでは重要な作業です。
中小企業にこそ社内不正・横領事件は発生する
情報流出事件でニュースに頻発するのは、有名企業、大規模企業が多いようなイメージがありますが、実際は売上を伸ばすこと、支社支店を増やすことなどに注力してしまいがちな中・小規模企業にこそ社内不正・横領事件が多発しています。社内セキュリティに人員や経費を割く余裕があまりないことが一因であると考えられます。社内不正行為は横領や情報持ち出しだけとは限りません。例えば以下のようなものが考えられます。
- 取引先からの利益の供与
- 会社資産の流用
- SNSでの会社に対して不利益となる書き込みや拡散
- 会社の機密情報の流出
- 交通費、営業経費の不正申告
社内不正行為を起こす動機・きっかけ
社内不正は、「動機」、「機会」、「正当化」の3要素が重なったときに起きるという研究結果があります。逆にその3要素のうち、どれか一つの要素でも欠けていれば、不正が起こるのを防げるという結論になります。上司が常に部下とコミュニケーションをとり、業務上の悩みや問題点がないかどうかを確認することで、「動機」、「正当化」の要素はある程度取り除くことができるかもしれません。一番重要なのは、「機会」を与えてしまわないことです。部下に対する過度の信頼から、部下の行った仕事のチェックを怠る、重要なデータの管理が杜撰であることは、みすみす、不正者に「機会」を与えてしまうようなものです。相互チェック機能を含めた内部統制やルールの整備を行う事が社内不正を防ぐ一助になります。では、実際どのようなきっかけで社内不正が起きてしまうのでしょうか。
- 仕事の成果に対して報酬が少ないと感じている
- 業績が悪化した場合責任を問われる立場にある
- 社内の資料の管理が杜撰
- 仕事のノルマやプレッシャーがきつい
- 一つの業務を一人で管理しているため、不正をしても発覚しにくい
セキュリティ
当社は個人情報保護法を遵守し、お客様の個人情報を大切に取扱います。
- 株式会社ピーシーキッド 東京本社
-
- 住所 : 〒101-0021 東京都千代田区外神田5-1-5 ACN 秋葉原PLACE 3F (旧: 国際ビルディング 3F)
- 電話番号 : 03-6240-1860
- FAX : 03-6240-1861
- フリーダイヤル: 0120-56-2982