第５回　情報リスクに対する企業の対応

第４回の内容で事前準備の重要性を主に記述しましたが、現在従業員数千人を抱える大きな企業では、デジタルデータを専門に調査し、意図的な情報漏えいなどを含むホワイトカラー犯罪に対応する部署を組織する所が出てきています。もともとは、外部からの侵入に備えて組織されたチームが、内部の端末を利用した不祥事に対しても柔軟に対応する必要が出てきたということが言えるでしょう。専門のチームが組織されたことによって、かなり正確に状況が電子データから取り出すことができ、問題解決までの時間を大幅に短縮できるようになった企業も出てきました。

専門チームが組織されるまでは、殆どの証拠が含まれる重要な電子データを全く調査知識を持たない、対象者の上司などが閲覧を繰り返したため、殆どの時間情報が、書き換えられたり、酷い場合には隠蔽されたりしていたのですが、専門の知識をもつ担当者を社内に配置するようになってから、インシデントの一報後、殆ど証拠データが書き換えられず専門家の調査が行われるようになった例もあります。担当者が、インシデントに端末が含まれる場合、一切の操作を行わず、端末を対象者から離し、すぐに専門部署に送付する、ポリシーとプロシジャーが出来たことに、解決までの時間を短縮することが出来たのです。また別の企業では、どこまでをインハウスでの調査にあて、どこからを専門機関に委託するか明確に線引きをした所もあります。

昨今の情報漏えいを含む多くのインシデントでは、報告の遅れが事態をより深刻化させます。そこで、ある一定の被害が予想される場合、すぐに外部の専門ベンダーに協力を要請し、２４時間で調査を行うケースも増えています。インターネットを通じた内部インシデント情報のリークが非常に短い時間で発生するため、企業はそれよりも速い速度で真相にたどり着き、調査情報をコントロールしながらディスクローズしていくことが重要なのです。

我々は業務上このような企業の情報リスクに対する対応を日々目の当たりにしています。現在の日本では、電子的な情報に関する不祥事に対して、歴史のある大企業のほうが先進的に対応組織を作り、効果的に対応しているという感想を持っています。逆にIT技術を利用して業務を行い、急成長をしている企業において対応が非常に遅れている、あるいは無視されているという感じを受けています。利益の追求に負われ、リスクに対する準備が残念ながら出来ていない部分は情報リスクに関しても同じなのです。

我々が、啓発を含めたプレゼンテーションを行ったものの、対応が遅れ数ヵ月後に、本当のインシデントが発生し、企業イメージを大きく落としてしまった所が出てきていることも事実なのです。対応組織を作る事は、費用的にも難しいかもしれません。しかし、対応マニュアル作りや、どの部分から専門家に依頼するかの線引き作りは明日からでも出来ます。我々はこの部分を強く推奨します。電子データに関する不祥事も火事の場合と同じく、予め訓練が出来ていれば、被害を小さく抑えることができるのです。逆を言えば、準備が出来ていなかったために、避難経路に障害物が合った場合と同じく、電子データの解析に大きな障害が立ちふさがるケースを我々は多く目にしています。

★様々な調査との連携
我々が、日々直面する不正調査において、その多くは対象者、または対象組織の端末に残るデータから日々の業務の履歴を追い、リアルな世界の情報との整合性を探していきます。複数台の端末を対象者が使用していれば、それだけ証拠データが増え、データ改ざんが難しくなります。複数台のPCの使用履歴を同じ表にプロットすると使用者が、何を考えAとBのPCを同時に利用したのかも明らかになってきます。

ここで重要になってくるのは使用者が誰であったかと言うことです。デジタルデータによって不正を調査していく際に使用者を特定していく部分が重要項目の一つとなります。使用者がメールを書いていれば比較的特定は簡単になっていきます。しかし殆どの場合、デジタル情報以外の様々な調査・監査技術も利用して特定していく必要があります。タイムカード・証言・日報・メモ等これまでの様々な経験から培われた、調査手法を有機的に取り入れて、デジタルデータから得られる証拠とつき合わせて特定に至るケースが多くなっています。

それだけPC使用者の特定という部分はセンシティブな部分なのです。この部分を誤れば、リスクをさらに拡大させてしまい、場合によっては新たな訴訟問題に発展する場合もあります。このように対象端末の使用者の特定に関しては、専門家の意見は大いに取り入れる必要があります。ネットワークが張り巡らされた社会では、本当の対象PCは社内に無いかもしれません。

こうなると対象者の意図は社内に残る証拠物だけでは出てこない可能性があります。社外の対象者の行動に実際の証拠が存在する場合もあります。この様にデジタルデータに関するホワイトカラー犯罪はITのスキルだけでは解決できません。そこには組織的であったり、隠蔽を伴った明らかに悪意を持った人間が介入したりするからです。デジタルデータは多くの情報を持ち、証拠の大半を占めています。しかし、決め手になる部分は、メモであったり、タイムカードであったりすることもあるのです。

★いま直ぐ行動を
多くの企業のリスクマネージメントオフィサー(RMO)や情報管理責任者（CIO）は怖いけれどまだ早いのではないかとコンピュータフォレンジックの活用に躊躇される場面に直面します。一方、インシデントが実際に発生し準備不足であったことを嘆く、代表者を含むトップマネージメントの方にも多くお会いしています。準備が出来ていなかった場合、フォレンジック調査は企業のトップと直接行わなければならなくなるほど深刻な状況に陥ります。

いったい誰が・いつ問題を発生させ、その被害は今後拡大するのか、などの情報を一度に集める必要がインシデント発生時には生じます。これらの準備は、実際に経験を多く持つ専門の組織から情報を集めて行うことが最も効果的です。歴史のある大企業のチームでは、競合企業であっても同じような対応組織同士情報を共有している場合もあります。業種が同じであれば、直面する情報リスクも似か寄る傾向にあるからです。

簡単に出来ることは、まずインターネットで様々な事例を読むこと、また事例紹介をしている企業のセミナーに参加することです。我々が啓蒙のためにセミナーを開催する際、事例紹介には多くの時間を費やしています。事例を見てもらうことによってそれぞれの企業環境にそって担当者にどの様な準備が必要か考えてもらう時間が持てるからです。もし専門家の情報が得たい場合、ITのスキルだけでなく、その企業が様々な事例に対応している実績があるかを吟味してコンタクトを取ることが大切です。IT時代における不正調査と題して、記述してきましたが、IT時代においてもITだけに頼っては解決できない不正が殆どであることを覚えておいてください。我々のコンピュータフォレンジックサービスで解決してきた事例の統計からいくつかの事が判ってきました。不正は人の心が行っています。人の心は遠い昔からあまり変わっていませんし、その動機となるものも殆ど変わっていません。その手段（道具）がIT技術になってきたのです。

他の様々なリスクと同じように明日デジタルデータを含むインシデントに見舞われるかもしれません。本内容に共感頂き直ぐに行動を起こされるリスクマネージャーの方が増えることを願っております。