3月9日,経産省が実施している「新世代情報セキュリティ研究開発事業」の2006年度研究成果発表会が東京・秋葉原で開催され,6つの研究プロジェクトの成果が披露された。その中で日立製作所 システム研究所の甲斐賢氏は,「内部統制評価に有効な証跡管理(エンタープライズ・フォレンジック)の研究」と題して成果報告を行った。
社員による情報漏えいなどの不正行為は増える傾向にあり,「企業は訴訟や情報開示に備え,コンピュータ内やネットワーク上にあるデジタル・データを収集・分析・保存する技術や手法(コンピュータ・フォレンジック)を整備することが不可欠になってきた」と甲斐氏は研究の背景について語る。
最初に,コンピュータ・フォレンジックによって不正行為を摘発した事例をいくつか紹介した。まず,あるシステム構築会社の社員が,客先の機密情報をWinny経由で漏えいさせた事件。この社員は,納期の迫ったプログラム開発作業を自宅で行うため,客先の機密情報を社外に持ち出して自宅PCに保存した。この自宅PCを調査した結果,Winnyインストール日時,流出したデータの存在,Winnyウイルスの感染の形跡などが明らかになったのである。
海外企業へ転職する社員が再就職先への“おみやげ”として顧客情報と技術情報を持ち出した事例もある。退職意思を確認した数日前に顧客情報を業務PCにダウンロードしたこと,技術情報を個人メールに転送した後で業務PCからデータを削除したことなどが,コンピュータ・フォレンジックによって判明した。複数のアクセス権限者による共謀によって不正は行われ,業務PCには痕跡が認められなかったものの,自宅のPCを解析することで事実が明らかになった。
また情報セキュリティ本部長が,怨恨によって自社システムの機関部を破壊するというケースでは,アクセス権限者が複数で調査が非常に困難だったという。就業時間後の夜間に疑わしい業務PCを調査したほか,証言の食い違いや個人メールをチェックすることで容疑者を絞り込み,最後は自宅PCの調査を行って犯人を特定した。
今後企業は,1.情報漏えいリスクに備えた「調査」,2.訴訟リスクに備えた「情報開示(eディスカバリー)」の2つの能力を高めていく必要がある。そこで甲斐氏の研究チームは,「何の証跡を,どのような方法で,どれくらいの期間保存しておくべきか」「社内にどのような調査体制を構築すべきか」といった,証跡の取得や開示に関するガイドラインの作成に取り組んだ。
証跡の取得のガイドラインについては,過去の事件の情報漏えい経路を徹底的に分析し,24の漏えい経路に体系化してリスクの識別のためのチェック一覧表を作成した。例えば,社員が故意にクライアントPCから情報の入った可搬媒体を持ち出したり,第3者がインターネットからリモートアクセスでなりすまし,ログインする,といった経路がある。これらを「誰が」「なぜ(故意か,過失か)」「どのように」という発生要因別に体系化した。
さらに各漏えい経路について,調査に必要なログを効率よく収集する方法を一覧にした。「人物」「場所(コンピュータ/ネットワーク)」「イベント(ログインやCDへの書き出しなどの操作)」「証跡に含まれる情報(日時,ユーザー名,アクセスしたデータなど)」などを,捜査方針に従って効率的に把握・収集する方法を示した。
証跡の開示のガイドラインの方は,今後研究を進めていく。海外で起きている訴訟での「情報開示(eディスカバリー)」の事例をもとに,日本企業が直面しやすいリスクを洗い出してガイドラインを作成する。
「よくあるのは,米国企業が,日本企業の現地法人を相手に訴訟を起こすというケース」と甲斐氏は説明する。PL(製造物責任)や特許に関わる訴訟が多いという。
米国の法廷は,日本の本社に対しても関係者のPCデータの提出を求めることが多く,「必要かつ十分なデジタル・データ」を,「求められた形式」かつ「正しい方法で取得する」ことが必要になる。eディスカバリーの作業を怠ると,訴訟でのリスクが高まったり,法廷から制裁を受けることになるからだ。
研究プロジェクトは次年度も継続して実施する。作成したガイドラインは,NPO法人の日本セキュリティ監査協会の有識者のレビューを受けた後,公開する予定だ。
