デジタルフォレンジックの進展　第3回「フォレンジックの手法」

IT化がビジネスや生活の中に急速に進んだ結果、コンピュータ内のデータや電子メール等の通信記録、蓄積データへのアクセス記録などが問題解決や係争中の証拠として重要な位置を占めるようになりました。こうした背景から、1990年代電子データが訴訟における証拠として扱われるようになる一方で、電子データの証拠性に関わる新しい課題も顕在化してきました。このため、訴訟や不正行為、情報漏洩事件などに対応した電子文書の収集・管理や分析を行う「デジタル・フォレンジック」が注目されはじめています。

●デジタル・フォレンジックとは

特別非営利活動法人デジタル・フォレンジック研究会では、デジタル・フォレンジックを「インシデント・レスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全や調査・分析を行うとともに、電磁記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う」と定義しています(参考1)。

フォレンジックでは、自然科学の理論と技術を犯罪の捜査に適用する法科学に沿って捜査、裁判がなされるものです。アメリカ・ドイツ等では増加する起訴事案に対処するために法科学研究者による民間の科学鑑定会社や検査機関が設立され、多くの民事事案や刑事案件の科学鑑定を行っているようです(参考2)。

参考1：デジタル・フォレンジック研究会
http://www.digitalforensic.jp/wdfitm/wdf.html
参考2：法科学鑑定研究所
http://www.e-kantei.org/goannai001.htm

●デジタル・フォレンジックの手法

フォレンジックは、大きく分けると証拠保全、解析、報告の3段階からなります。日本では、米国と異なり電子データの証拠保全方法や保管に関わる明確な規定がありませんので、一般にはコピーを保存しておくくらいで、改ざんされていないことを証明する手続きがとられていません。そのため、コピーの原本同一性証明が困難であることもよく生じることになります。

デジタル証拠の保全については、デジタル・フォレンジック研究会が「証拠保全ガイドライン第1版」を公開しています(参考3)。本ガイドラインでは、「事前準備」「インシデント発生直後の対応」「対象物の収集・取得・保全」「証拠保全機器の準備」「証拠保全作業中・証拠保全作業後」に分けて書かれています。また国際的にはRFC3227で証拠収集・保全の方法や運用上の課題について種々のガイドラインが作成されています。証拠保全の手続きとして、正しく保全され、完全性を失わない状態で保管・取り扱いを続け、全てを記録することが義務付けられないかぎり、今回の検察庁の内部不正問題も防ぎきれないケースが出てくるでしょう。今後、メールや操作履歴などが証拠として採用される場合には、より厳密に証拠保全をしていくために、ガイドラインに従った運用や暗号技術を適用した電子署名、メッセージ認証などの技術的な対策やアクセスコントロールなども重要になってきます。

参考3：デジタル・フォレンジック研究会ガイドライン
http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=207

（林誠一郎）

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/