記録ツールを導入したところで、不正に対する抑止力には限界がある。そこで、異なる抑止力を生むものとして注目されているのが、ハードディスクに残った痕跡からシステム利用の実態を解明する「デジタル・フォレンジック」だ。

 「デジタルフォレンジックを念頭に必要な情報の収集、保管を確実に行うための環境を築いておくことが大切」――。4月1日に警察庁が配布を始めたパンフレット『企業のための!情報セキュリティ』では、内部不正が発生した場合にダメージを最小限に抑えるための知識として、デジタル・フォレンジックが3ページにわたって紹介されている(写真1)。

写真1●警察庁が4月1日に配布し始めたパンフレットの表紙と、デジタルフォレンジックの説明部分
http://www.npa.go.jp/cyber/pamphlet/ からダウンロードできる
[画像のクリックで拡大表示]
写真1●警察庁が4月1日に配布し始めたパンフレットの表紙と、デジタルフォレンジックの説明部分

 そもそもフォレンジック(forensic)とは、「法の、法廷の」という意味。デジタル・フォレンジックは「コンピュータ・フォレンジック」とも呼ばれるもので、コンピュータ内部を調査して法的証拠を見つける手法である。誤解を恐れずに言い換えれば、「クライアントPCやサーバーのハードディスクに残る痕跡を“正しい形”ですべて洗い出し、有用なデータを見つける手法」だ。状況によるが、消去されたファイルなども、痕跡を見つけて復元できる。

 これまでは主に捜査機関が利用しており、企業にはなじみが薄かった。しかし警察庁がコンピュータ・フォレンジックを啓蒙し始めたのは、情報漏洩を中心に、内部不正による事件がこれだけ起きている今、企業が知っておくべき事柄となったと判断したからだ。

 すでに先進企業は、自らがコンピュータ・フォレンジックを利用できるよう、体制を整えている。米シティグループは内部統制の一環として、フォレンジック専任チームを設置。国内でも、ソフトバンクBBが2005年初頭からコンピュータ・フォレンジックに取り組んでいる。「企業を守るには、クライアントPCやメールなどの履歴を記録するだけではだめ。コンピュータ・フォレンジックで、危機に対処できなければならないと考えた」(情報セキュリティ本部の高こう 元伸もとのぶ 本部長)からだ。

 こうした体制を採っていなくても、ハードディスク上のかなりのデータを復元できることを周知すれば、「継続記録のための専用ツール」(関連記事はこちら)でシステム利用履歴の詳細を記録するのとは別の抑止効果が期待できる。

削除しても物理的には消えない

 コンピュータ・フォレンジックの手順を説明しよう。

 まずはクライアントPCやサーバーのハードディスクを、専用の装置を使って物理的にコピーする。本来のディスクを“証拠”として保管するためだ。ディスクのセクターを一つひとつ読み取り、コピーする。そのため、OSが認識できない部分まで、オリジナルに忠実なディスクが出来上がる。

 次に、コピーしたディスクに存在するファイルを洗い出す。単に保存してあるファイルを抽出するだけではない。Webブラウザが利用するキャッシュ・ファイルを基にWebアクセスの履歴を明らかにしたり、レジストリ情報から外部記憶装置の利用状況を調べたりする。削除されたファイルも、できる限り復元する。その仕組みは、こうだ。

 ファイル・システムは個々のファイルの管理情報をテーブルの形で保持している。例えばNTFSでは、MFT(マスター・ファイル・テーブル)がそれに当たり、ファイルの名称や作成日時、アクセス権、ディスク上の位置情報を保持している。ファイルが複数のクラスタ(ディスクにデータを書き込む最小単位)にまたがって格納されている場合は、それぞれの位置情報もMFTで管理している。

図1●削除したメールを復元(Forensic Toolkitの画面例)[画像のクリックで拡大表示]
図1●削除したメールを復元(Forensic Toolkitの画面例)

 ファイルを削除するとOSから認識できなくなるが、いうまでもなく、ディスク上でデータが完全に消去されるわけではない。その領域が実際に使われない限り、データはディスク上に残っている。そのような状況なら、位置情報を特定できれば“削除されていない”ファイルと同様、ファイルのヘッダー情報を参照して復元できる。ヘッダー情報には、アプリケーションごとのフォーマットを示す情報が入っている。例えばExcelの形式なのか、画像のビットマップなのかといった情報だ。このヘッダー情報を参照し、ファイル形式を特定して復元する。

 以上が基本的な動作である。さらに主要なアプリケーションに関しては、個別のノウハウを駆使して、ファイルの中身を明らかにする。例えばメール・ソフトであるOutlookでは、ユーザーが削除したメールを復元できる。Outlookは送受信したメールをすべて「pst」という拡張子のファイルに格納している。pstファイル自体は前述したやり方で復元するが、それだけではユーザーが削除したメールは見えない。実はpstファイルの中は上記のファイル・システムと同様な仕組みで個々のメールを管理している。そこで、pstファイル内部のメール管理情報を基に、削除したメールを復元する(図1)。

次回へ