デジタル・フォレンジックとITリスク学の考え方とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > デジタル・フォレンジックとITリスク学の考え方とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

佐々木良一 東京電機大学教授に聞く「デジタル・フォレンジックとITリスク学の考え方とは」

東京電機大学教授
佐々木 良一
「デジタル・フォレンジックとITリスク学の考え方とは」

個人情報漏洩などのITリスクに対処していくためには、1つのリスクへの対応が別のリスクを引き起こすことや、関与者の心理学的状況や、対策がうまくいかない場合のための危機管理など、総合的に「ITリスク学」を確立していくことが不可欠である――「ITリスク学」やデジタル・フォレンジックの考え方について、東京電機大学教授の佐々木良一氏にお話をうかがった。


情報セキュリティ研究のきっかけ

佐々木良一 東京電機大学教授
佐々木良一 東京電機大学教授

―佐々木先生が情報セキュリティの分野を研究するきっかけとはなんだったのでしょうか。

佐々木氏 今から25年前、日立製作所の研究所の課長になるときに新しいテーマとして、ネットワーク管理とセキュリティを立ち上げることにしました。
 当時はまだ、セキュリティは製品に結びつかない時代でしたが、1990年代初めに状況が変わってきました。インターネット時代を見据えて、暗号通信システムや認証機関・公証機関の受注や、PCにおける暗号化、デジタル衛星通信の暗号化など、セキュリティ関連の製品化が進むようになりました。2001年になると現在の大学に移ってからも、セキュリティの研究を続けました。現在はネットワークセキュリティ、デジタル・フォレンジック、ITリスクを研究の三本柱にしています。

―デジタル・フォレンジックについてはいかがお考えでしょうか。

佐々木氏 大学に移ってきた当時、弁護士の方とお付き合いがあり、デジタル・フォンジックの話をする機会に恵まれました。そのとき、今後はデジタル・フォレンジックが重要になるのではないかと、感じました。本格的な研究そのものについてはこの4~5年前から始めています。ですので、理系の人間としてはデジタル・フォレンジックにもっとも早い時期に関わったうちの1人だと思います。

 企業におけるデジタル・フォンジックでも、訴訟をする側とされる側それぞれのデジタル・フォレンジックがあると考えています。例えば不正侵入があった場合に対して証拠性を固めて、どこから攻撃があったのか、あるいは侵入経路がどうなのか、場合によっては誰が犯人であるかというところまで、見つけ出していこうということです。
 デジタル・フォレンジックの研究もいろいろなタイプがあり、1つは企業におけるデジタル・フォレンジックと、警察等の法治国家におけるデジタル・フォレンジックとどちらが先に進んできたかというと、警察が利用するデジタル・フォレンジックのほうが、先に進んできた歴史があります。

デジタル・フォレンジックの体系
デジタル・フォレンジックの体系 (クリックすると拡大します。)
 訴訟する側のデジタル・フォレンジックというのは、不正侵入、個人情報の漏洩がどこから漏れていたか、を把握する必要があります。それ以外に今後必要になってくると考えられているのが、この訴訟される側の、デジタル・フォレンジックだろうと思います。
 要するに、企業に求められる説明責任や、あるいは内部統制で、コンプライアンスに対応して、「自分たちがきちんとやっている」ということを証明できるようにしておかなければならないのです。

企業側の需要を考慮する

―なるほど、確かにそういう時代になってきていますね。

佐々木氏 他企業であるとか、国家であるとか、様々な形で訴訟を受ける可能性があるわけですね。それに対して、きちんと情報を整理していきましょうというのが、訴訟される側のデジタル・フォレンジックです。私自身は今後、訴訟される側のデジタル・フォレンジックに重点を置くつもりです。

 例えば手術をするときに、病院側は自分たちに過失がなかったことを証明したいとします。そこで病院ではカメラで診療や手術などの治療過程を記録し始めています。
 そのようなカメラの記録に加えて、キーボードの入力履歴、心電図などの画像情報といったあらゆる情報を、時間的に前後関係が矛盾しないように読み込みながら、ログファイルとして残すことができないか、研究を進めています。これについては、一部分の抜き出しや、改ざんできるセキュリティホールがあると、電子的な証拠としての証拠能力に問題が生じるため、そうならないように対策を考えています。

 また、他にはe-Discoveryに使う際の必要十分な証拠性、開示方式に関する研究開発をしています。今、アメリカでは、原告側と、被告側の弁護士が話し合っているデータをお互いが開示し合います。加えて、どういう論点で争うかを裁判が実際にはじまる前に決めています。日本も電子的な証拠の開示方法を考える方向に向かうのではないかと私は考えています。
 情報をどこまで開示するかということは、被告側にとって非常に重要です。必要なデータを「ない」と言って、後で存在することが明らかになると、事実がどうであろうと、米国においては「裁判に負ける」ことが確定します。また企業秘密にかかわるもので、かつ裁判とは関係ないため公開したくないという情報もあります。そこを選別して電子的に「墨」を塗る技術も研究しています。
デジタル・フォレンジックの説明をする佐々木氏
デジタル・フォレンジックの説明をする佐々木氏

―選別して情報を隠す技術は、企業側にも需要はあるのでしょうか。

佐々木氏 今、「墨」を塗る技術に対するニーズそのものはあるとは言われていますが、対応ができていないのが現状です。私自身が企業出身なので、ニーズ志向の研究をするべきだと考えています。3~4年先に世の中がどう変わっていくかを想像して、「その時代において、どういう技術が必要になっていくのか」を考え、それに向けた、技術開発をするわけです。

 ニーズ志向という点でいうと、ネット取引が増えている現状を踏まえると、電子署名は不可欠になってくるでしょうね。このデジタル・フォレンジックの話についても、権利意識に目覚めた人々が、起こしている裁判に備えて、訴訟に耐えうるデータを用意しておく必要があるわけです。

日本の市場の状況

―アメリカではデジタル・フォレンジックの市場が確立されていますが、今後、日本でもアメリカのような市場ができてくるという可能性はあるのでしょうか。

佐々木氏 一般的な市場から言うと、大きくなる可能性は少ない。アメリカの製品を日本に導入するようなアプローチが多いでしょうね。ただプログラム、ソフトウェア産業に関連したコンサルティング産業はこれから大きくなると思います。
 それからもうひとつが、アメリカ企業に訴訟された日本企業が様々な対応をしていく、いわゆる、e-Discovery産業です。これは思いのほか、急激に大きくなってきている。想像以上に日本の企業はアメリカから訴訟をされているからです。
 デジタル・フォレンジックのマーケット自体は確実に伸びていますが、日本が中心となって進めることはできていません。しかし、e-Discoveryツールの市場が、大きくなる可能性も十分あります。
代表的ITリスク
代表的ITリスク

Next


お問い合わせ

  コラムトップページへ▲