第4回 コンピュータフォレンジック技術を活用するために
事前準備の必要性
コンピュータフォレンジック技術を用いて不正調査を行い、効率的な結果を得るために最も重要なことは、インシデントが発生する前にコンピュータフォレンジックを用いた即応体制を整えておくことです。コンピュータフォレンジックは、定期監査などを除けば通常不正発覚後に調査対象PCを特定、その特定されたPCに対して実施することから、どちらかといえば事後対応に必要な技術と思われることでしょう。しかし、実際にはコンピュータフォレンジックでの調査・解析作業を行う中ではいくつかのステップがあり、フォレンジック調査・解析作業にかかる時間よりも、その前段階に多くの時間を費やすことが多々あります。折角フォレンジック調査で真相を解明出来たとしても、証拠保全の前段階で多くの時間を費やしてしまい、風評被害などによって企業価値を落としてしまうケースも多く見られます。
 また調査自体の準備態勢も大切ですが、社内のPC管理体制も調査の進捗速度に大きな影響を与えます。仮に社内規定の不備で証拠を隠蔽するようなPC操作を容認していた場合、フォレンジック調査をしても殆ど証拠となるデータが出てこないといった事になる可能性があります。
このようにコンピュータフォレンジックを不正調査で有効に活用するためには、インシデントが発生する前からの様々な準備が必要となるのです。具体的にどのような準備を行う必要があるのか以下に記述します。
コンピュータフォレンジック調査のためのPC設定
前回お話しましたが、コンピュータフォレンジックで全ての解析が対応できる訳ではありません。上書き消去されたデータや、OSの設定によりPC内部にデータが残っていない場合は、その内容を確認する事ができません。例えばWindowsのコマンドとして使用されるデフラグコマンドです。このコマンドはHDDのデータを順序よく並び替えて、処理速度早くするためのものですが、データ並び替えの際に、消去されたデータ領域に別のデータを移動してきます。この操作によってフォレンジック調査を実施した際に消去されたファイルを調べることが非常にむずかしくなってしまいます。このようなコマンドを使わないようにする事は難しいですが、乱用を防ぐポリシーを作る事は可能です。また、Windows等のOS設定に関しても同様で、より多くの情報が履歴として残るような設定を施します。つまりフォレンジック調査を実施する際により多くの操作履歴情報が残るような設定を行うのです。
不正調査対象PCの特定
不正調査をする際に最初に問題となるのが、調査対象PCの特定です。これは不正の内容や規模、発覚した状況により異なります。例えば横領で内部または外部からの通報により発覚した場合は、特定された対象者自身のPCを調査することが多くなりますが、不正会計などの組織的な不正の場合、その部門のPCを全て調査することもあります。インシデント発生前に部署ごとに管理しているPCの数や、HDDの容量、誰がどのサーバを使用しているか、アクセス権限を持っているのは誰か、などの情報を事前に把握しておき、調査が必要になった際に調査担当者がすぐに調べられる準備をしておくことでスムーズに調査対象のPCを特定することが出来ます。これは、火災が発生することを前提にした防災訓練と同じ意味合いです。火災が発生してから消火器を探していたのでは初期消火が不可能なように、インシデントが発生してから調査対象PCの特定方法を考えていては証拠取得作業に時間が取られてしまい、迅速に解析作業に移行することが難しくなってしまいます。
監査ログツールとの連携
個人情報保護法施行に併せて多くの企業が導入を行った監査ログツールやネットワークフォレンジックツールとコンピュータフォレンジック技術の連携が取れますと、インシデントの検知から対象者の特定までが非常に早くなります。連携作りにも同じように準備が必要です。実際に対象者を見つけ、証拠を採取する目的で、構成されないと実際にインシデントが発生した際に有効にその機能を使えないことになります。多くの企業ではインシデントが検知されたとしても、対象者の特定や、証拠の採集まで至らない事が増えています。ここでも不正をゼロにする事は難しいという視点に立って即応体制を作ることが重要である事が言えます。
対応マニュアル
マニュアル作りも重要な項目のひとつです。調査担当者に向けてのデジタルデータ調査規定がマニュアル化されて無いばかりに、調査データが改変されたり、消失されたりする例も多くあります。またどこから専門家に依頼すべきかの線引きが無いために、結果を間違った方向へ導いてしまったり、非常に時間を掛けて解析したにもかかわらず、証拠の信憑性を疑われるような操作を調査中に行ってしまったりなどの事例もあります。インシデント時は、幾つもの項目を同時に調査しなければなりません。予め設定されたマニュアルによって各担当者が平行して調査を行える体制を作ることが、緊急性の高い調査にすばやく対応する鍵となります。
今回はダメージコントロールとコンセプトで準備態勢に関して多く記述させて頂きました。デジタルデータに関する調査を行う場合、ステークホルダーに対するスムーズなディスクロージャー活動がメインの仕事となります。どんな優秀な調査専門家でも、調査環境が劣悪でポリシーも何もなかったPCから不正の痕跡を見つける事は困難な事になります。
現在では、このような即応体制作りを専門にサポートする企業がいくつか出てきました。まずは相談をしてみると良いでしょう。 |
