（前編）デジタル・フォレンジックは、内部統制強化時代の秘密兵器

日経情報ストラテジー編集

2006.06.05

ライブドア事件で捜査当局が注目したのはサーバーやパソコンに残されたメール。業務の履歴がデジタルデータで残されるようになった時代、データ内容の調査、分析を行う「デジタル・フォレンジック」が、リスク管理の重要な手法として注目を集めている。犯罪捜査だけでなく、訴訟対応や内部不正調査でも役立つ。

　「データセンターを捜査し、10万通のメールを分析」「経営トップのパソコンなど100台以上を押収」

　2006年1月17日。新聞各紙の朝刊1面にはライブドア事件の始まりを告げる見出しが躍った。

　前日夜、東京地検特捜部はライブドアの本社やデータセンターに強制捜査に入った。特捜部が不正取引の実態をつかむために注目したとみられるのは、経営陣がやり取りした数々のメール。同社の経営の特徴の1つはメールを活用したスピーディーな意思決定だった。ただし、そのプロセスが逐一デジタルデータとして記録されたため、いったん捜査の手が及ぶと短時間で経営の実態が「丸裸」になってしまうという側面もあった。

パソコンに証拠が残る

▲強制捜査に入った東京地検特捜部は経営トップらのパソコンを押収（写真提供：時事通信社）
[画像のクリックで拡大表示]

　パソコンやサーバーなどに残されたデータを抽出し、犯罪の証拠などとして活用する手法は「デジタル・フォレンジック」と呼ばれる。パソコンやサーバーのハードディスクを、証拠性を損なわない特殊な方法でコピーし、解析ソフトを用いて不正行為の証拠となるメールやアプリケーション・ファイルなどを探し出す。いったん消去されたデータの復元も可能なので、不正の当事者が消したつもりの証拠を押さえることもできる。

　「ライブドア事件ではデータセンターに設置されたメールサーバーのログから不正の証拠となるメールが発見されたという報道もあったが、データセンターでの捜査は8時間程度なので、その間にサーバーのすべてのログを調べることは難しい。サーバーでメールの流れを押さえ、押収した経営陣のパソコンを解析して問題のメールを把握したと考えるのが妥当だろう」。デジタル・フォレンジックの受託やコンサルティングを手掛けるUBIC（東京・港）の守本正宏社長は指摘する。

　「弁護士の間では『メールが証拠として通用するのか』と話題になっているとも聞くが、正しい手段でメールを押収した場合には裁判でも証拠性が認められる」（守本社長）。「正しい手段」とは、デジタル・フォレンジックにおいて、調査者がデータを改ざんしていないことを証明できるようなプロセスを踏むことを指す。例えば、調査対象となるパソコンを起動するだけでも、ハードディスク内のデータの一部が更新され、不正の被疑者がパソコンを使っていたままの状態でハードディスクを保全したとはいえなくなる。

▲デジタル・フォレンジックの流れ。データ解析に先立ち、証拠性の確保が必要
[画像のクリックで拡大表示]

　UBICがデジタル・フォレンジックの依頼を受けた場合は、証拠データを書き換えないように、パソコンを分解してハードディスクを取り出したり、専用ブートディスクを利用してパソコンを起動したりしてコピーを作成し、消去済みファイルの復元も含めた様々な解析を行う。解析の過程でハードディスクのデータが更新されないよう、専用装置で防御する。「ライブドア事件でも同様のプロセスが適用された可能性が高い」と守本社長は話す。

　デジタル・フォレンジックの用途は、警察などによる犯罪捜査だけにとどまらない。デジタル・フォレンジックに詳しい東京電機大学の佐々木良一教授は、「米国では企業間の係争や、企業内部の不正調査に広く用いられ、民事、刑事事件の証拠として使われている」と話す。

犯罪捜査だけではない

　米国で企業間の係争にデジタル・フォレンジックが使われる例としては、他社の特許に抵触して技術開発を行うなど知的財産の不正使用にかかわるものや、業務を受託した会社が取引先の企業機密を外部に出してしまう情報漏えいなどが挙げられる。訴訟の原告となる企業などが被告に当たる企業に対し、正当なプロセスでデジタル・フォレンジックを行うことを請求し、係争に関連したデータの提出を求める。

　被告に当たる企業の調査プロセスが改ざんの可能性を残している場合には、原告側の企業が直接、調査対象となるパソコンのデジタル・フォレンジックを行うケースもある。

　ただしUBICの守本社長は、「これは最悪の事態」と言う。相手にパソコンが渡ってしまうと、係争に無関係なデータまで見られてしまい、開発中の商品や提携計画などの重大な企業機密が、合法的に外部に漏えいしかねないからだ。米国ではこれを目的に、競合企業にデジタル・フォレンジックを『仕掛ける』例すらあるという。

　米国でのデジタル・フォレンジックの普及は日本企業にも影響を与え始めた。佐々木教授は、「米国に現地法人を持つ日本企業が取引先や従業員から訴訟された際に、日本の本社の役員のパソコンがデジタル・フォレンジックの対象となる例も出てきた」と話す。

　そのため大手企業の中には、自社内でデジタル・フォレンジックの実施体制を固め、問題の早期発見を目指すところもある。

　米国ではM＆A（企業の合併・買収）を計画する企業が買収対象の企業に対して、デジタル・フォレンジックを請求するケースも増えている。不正経理や知的財産権の侵害など、将来重大な訴訟につながる問題を抱えていないかを、事前に確認しておくためだ。M＆Aが増加している日本においても、今後こういったリスク管理が必要になる。