デジタル・フォレンジック・コミュニティ2010が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > デジタル・フォレンジック・コミュニティ2010が開催(1)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
デジタル・フォレンジック・コミュニティ2010が開催

 2010年で7回目の開催となるデジタル・フォレンジック・コミュニティが12月13、14日の2日間にわたって行われた。今回は「生存・成長戦略を支えるデジタル・フォレンジック」と題し、人口減少による日本のマーケット縮小や、クラウド上にデータが存在するリスクなど、激変する環境の中でいかに企業が生き残っていくか。その中でデジタル・フォレンジックはどのような役割を担うのか、などについて議論が交わされた。デジタル・フォレンジック研究会の辻井重男会長は「攻めのフォレンジック」と開会の挨拶を行い、2日間の議論も白熱したものとなった。

 1日目の基調講演に立った監査法人トーマツの丸山満彦氏は、「企業のリスクマネジメントに対し、CIOも期待されている」と述べ、企業のリスクマネジメントについてCIO(最高情報責任者)の役割を中心に語った。
丸山氏は、CIOが企業方針を理解し、ツールの導入を含めたリスク対策を経営者へ提案すべきと述べた
丸山氏は、CIOが企業方針を理解し、ツールの導入を含めたリスク対策を経営者へ提案すべきと述べた
 丸山氏は日本企業が置かれている現状を「人口減少によってマーケットを海外へ求めざるを得ず、競争相手も欧米だけでなく、新興国企業も視野に入れなければならない状況になっている」と解説。日本企業が得意としてきたアナログ的な技術の蓄積についても、「例えば自動改札の切符を出す細やかな技術が、ICタグが埋め込まれたシステムによって不要となるように、手先の器用さなどの経験値がITによって重要性が減っていく」と述べた。

 続いて海外企業のトレンドを紹介。米国ではSOX法の導入後、ITツールの利用が増え、中国やシンガポールの企業にも同様の動きがあるという。その上で丸山氏は「彼らは日本ではなく米国の背中を見ている。一方の日本企業は、いわゆるJ-SOX導入後を見てみると、ただ内部統制対応をやっているだけ、程度のレベルにとどまっている」と指摘した。

 こうした状況の中、否が応でもビジネスチャンスを広げ、新たなリスクを取らざるを得なくなる日本企業が取るべき姿勢、特にCIOがなすべき役割について、「企業が受け入れるべきリスクを理解し、社内のリスクマネジメントツールを経営者へ提案すること」と丸山氏は語る。
 具体的には海外進出の際のIT管理の方法や、リアルタイムにデータ分析を行い、不必要な個人情報の閲覧をチェックして情報漏洩を未然に防止するなどのリスク把握を挙げた。

 その中でCIOがとるべき指標として、企業全体を見通したリスク管理の必要性を訴えた。職務分離*1という単体の対策は様々な分野に影響を及ぼすため、「日本の企業風土では困難かもしれないが、部署別ではなく企業全体の最適化を目指すべき」と丸山氏は指摘する。

 最後に企業の取締役会をコクピットの機長に例え、「周囲の計器がきちんとリアルタイムで動いていなければ操縦できない。同じように、CIOがリスクを『見える化』し、経営者が網羅的にリスクを把握できる環境を整えるべき。企業方針がグループ全体に行き渡って実行されているかを確かめる仕組みができれば、賢くチャンスをつかむことにつながる」と締めくくった。
 警察庁科学警察研究所(科警研)の渡邉和美氏は社内リスクの1つである内部犯行について講演を行った。渡邉氏の所属する科警研の犯罪行動科学部は、犯罪の未然防止に関する研究、犯罪の捜査や犯罪者のプロファイリング*2に関する研究などを行っている。
情報セキュリティの内部犯行を解説する科警研の渡邉氏
情報セキュリティの内部犯行を解説する科警研の
渡邉氏
 今回は、情報セキュリティ事件の調書などを元に行われた内部犯行の研究(情報セキュリティにおける人的脅威対策に関する調査研究報告書:PDF)を元に、犯人の心理状況や行動パターンなどを、事前に寄せられた質問に回答する形で解説した。

 情報漏洩の危険を承知していながらファイル共有ソフト「ウィニー(Winny)」を使用する従業員や、社内調査があるにもかかわらず、メールに不正のやり取りを残す従業員がいる。こうした行動の動機について、渡邉氏は「安全性より利便性を追求した結果。『今までも問題にならなかった、皆がやっている。見つかる人間はごく一部だ』という、スピード違反と同じ心理があり、逮捕のリスクを過小評価する」と説明した。
 犯人が意図的に情報を持ち出す際に、最も抵抗なく使用してしまう手段については「情報量の多いものはUSBメモリや、インターネットを利用するなど「利便性・運搬のしやすさで判断がなされている」(渡邉氏)。また別の観点として、情報量が少なく、業務上印刷する行為が社内で日常的であれば、心理的負担が低い印刷が利用されているという。

 その他、「情報セキュリティにおける犯行は、結果は重大だが犯人にかかるコスト(心理的負担)はほとんどない。他の犯行と違い、クリックしたり、キーボードをたたいたりなど、日常業務とほぼ同じ行為で犯罪を行える」「内部犯行はほとんどが単独犯」など、渡邉氏はフォレンジック技術だけでは見えてこない内部犯行の背景を披露した。

 1日目のクライマックスとなるデジタル・フォレンジック研究会の「法務・監査」研究会の講演では「クラウド・コンピューティングとデジタル・フォレンジック」と題し、企業へ浸透している「クラウド・コンピューティング」を業務利用するにあたり、クラウド事業者やユーザ企業のあり方、「e-Discovery」を始めとする米国民事訴訟への対応などが議論された。

 日本オラクルの北野晴人氏は、クラウド事業者のセキュリティに対する説明責任について言及。「クラウド・コンピューティングのセキュリティについて、『ログも取得しており、監視カメラもまわしている』という事業者もいるが、それを分かりやすい形でユーザ企業に開示をしているかは疑問」と指摘し、クラウド事業者が自社サービスにおけるセキュリティの安全性について、ISMS認証などの取得をことさら強調する姿勢を問題視した。
 「私がクラウドを採用する側の担当者だったら、『ISMSを取得していますからセキュリティは大丈夫です』と事業者から言われたら、定義したリスクとそれに対するコントロールが適切になされているかの監査結果をもらえるか、と聞く。それができなければISMS取得の意味はない」と語気を強めた。
法務・監査研究会の議論。クラウド・サービスにおける法対応などがテーマに挙げられた
法務・監査研究会の議論。クラウド・サービスにおける法対応などがテーマに挙げられた
 UBICの白井喜勝氏は米国の民事訴訟でデジタル・フォレンジックが必要となる「e-Discovery」の過程で発生するクラウド上のデータの取り扱いについて述べた。
 クラウド・サービスで業務情報を扱うことは、企業の生命線をクラウド業者へ放り込むことになる。万一クラウド業者が倒産や買収されたときにはリスクがある。白井氏は「クラウド事業者と契約を結ぶ前に、e-Discoveryを実施する際の手順を決めておいたほうがいい」と注意を促した。

 北海道大学大学院の町村泰貴教授も、白井氏同様にクラウドを導入した際のリスクについて触れた。法律上、企業が倒産した際、双方未履行契約として、契約を解除するかどうかを管財人が選択することができるという。クラウド事業者が倒産して契約解除された場合、預けていた情報はどうなるか。
 町村氏は「預けた情報をモノと考えれば、取り戻す交渉ができるが、データの変換や消去をしてもらえるかは微妙なところだ」と述べた。そのうえで、「電気、水道に課せられているような法規制が必要なのではないか」との見解を示した。

 パネリストの講演を踏まえたディスカッションでは、北野氏が民事ではなく刑事訴訟が出てくる可能性について述べ、「ある情報漏洩事件で、米国のデータセンターにあった被害者のデータは日本人、犯人は中国にいるらしい、というものがあった。クラウド・サービスではこれに似た事例が増えていくのではないか」と疑問を投げかけた。
 これについて町村氏は、「刑事事件に関して日本国内で起こったものについて行動を起こすので、データセンターが海外にあっても日本の警察は動ける」と述べた。一方で「主権の問題があるので、警察が米国のデータセンターを直接差し押さえるのは不可能。中国にいるとされる犯人も2国間交渉が必要である」と付け加えた。

 司会を務めた小向太郎氏は、「クラウド事業者の倒産など、解決すべき課題はあるが進んでいる面もある、という議論になったかと思う」と述べ、ディスカッションを締めくくった。



ビッグデータをテーマにデジタル・フォレンジック・コミュニティ開催(2015/2/9)

人材育成の話題も出た2013年のシンポジウム(2014/2/6)

サイバー攻撃などが話し合われた2012年のシンポジウム(2013/1/15)

2011年はサイバー攻撃を受けた時の対応が議論された(2012/1/5)

2009年は「事故対応社会のデジタル・フォレンジック」について(2010/1/18)

「ITリスク学」などが議論された2008年の研究会(2009/1/27)



※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:職務分離
職務実行者と、実行された職務の記録者をそれぞれ別にすること。例えば実際の物品管理者と物品管理記録者を別にする、など。

*2:プロファイリング
犯罪現場や被害者に関する情報から犯人像(性別・年齢層・生活スタイル・前科の有無)や捜査に役立つ情報を推定すること。




お問い合わせ

  コラムトップページへ▲