日本の社会に情報漏洩を防ぐ意識を浸透させるためには:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 日本の社会に情報漏洩を防ぐ意識を浸透させるためには
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

萩原栄幸  NPOデジタル・フォレンジック研究会理事に聞く
日本の社会に情報漏洩を防ぐ意識を浸透させるためには

NPOデジタル・フォレンジック研究会理事
萩原 栄幸
「日本の社会に情報漏洩を防ぐ意識を浸透させるためには」

 情報漏洩を防ぐ意識を日本の文化に根付かせることはできるのか―情報漏洩に関する訴訟にデジタル・フォレンジック*1の浸透性について、ネットエージェント株式会社取締役であり、NPOデジタル・フォレンジック研究会で理事として情報セキュリティについて取り組んでいる萩原栄幸(はぎわら えいこう)氏にお話をうかがった。

セキュリティに関わるきっかけ

―今までの取り組みをお聞かせください。

萩原栄幸 デジタル・フォレンジック研究会理事
萩原栄幸 デジタル・フォレンジック研究会理事
萩原氏  30年前から一貫してシステム・エンジニアとして作業を行って参りましたが、セキュリティに関しては15年程前から興味が湧き論文や専門書での情報入手と実験室での検証を行って参りました。
 私がセキュリティに関わる大きな転機を向かえたのが2002年4月15日放映のNHK「クローズアップ現代」での「あなたのデータが流出する~パソコンリサイクルの落とし穴~」での出演です。秋葉原を回り中古のディスクやパソコンなど20台以上も購入し、学会の事務局に私のパソコンを運んで徹夜に近い状態で実際に復元処理を行いました。結果、7割くらいから何らかのファイルが復元されました。今では問題になると思われるプライバシーに直結するような画像や設備関連工事の内容、工場での個人情報なども復元されたのです。
  そこでそのような現状とその防止策について啓蒙活動を行ってきました。そのうちにこれらの講演会活動は、学会、金融機関、官公庁その他の一般企業へと広がってきたのです。またフォレンジックだけでなく、広くセキュリティを捉え、個人情報保護法、J-SOX対応、内部統制などの個別テーマでも講演や執筆活動を行ってきたという訳です。これらが私の取り組みとなっております。

被害者も気がつかない犯罪

―そういった経緯で、現在はデジタル・フォレンジックをメインに関わられているのですね。

萩原氏 はい。いつも講演会でお話していますが、セキュリティの犯罪は普通の犯罪と違って、“被害者が被害者として気がつかない”というのが非常に大きな特色です。普通であれば、仮にナイフで刺されれば「痛い」と被害者は認識できます。ところがセキュリティの被害者だと、例えば、パソコンに侵入してプライバシーや、その人のクレジット番号をいくらコピーされても、実際にお金を請求されない限りはわからないのです。

フォレンジックの専門家の活用

フォレンジックの専門家について語る萩原氏
フォレンジックの専門家について語る萩原氏
萩原氏 この状況を打開していくために必要なことは、セキュリティに対する自分のバー(境界線)をどこに定めるかなのです。しかし今の人は何も決めていない―だから自分できちっと基準を決めて判断して生活をしていかなければなりません。
 デジタル・フォレンジックに関する話題だと、以前、東京地検特捜部が堀江貴文容疑者の件で、消失したメールを4万通位復元させた様です。このようなことは実は簡単にできるのです。ファイルを消去したり、レジストリ*2を触ったりして、素人がどんなに痕跡を消しても、専門家にはわかってしまいます。 そういった意味ではフォレンジックというのは今後、有望なセキュリティの考え方になっていくはずです。

 米国の上場企業では社内でフォレンジックの専門部隊を持っているところがほとんどです。かたや日本はほとんどありません。そこが先進国で一番遅れていると言われている所以でもあります。
 今までは、自分の会社に何らかの不都合なことがあったとすると、例えば、「HPの改ざんがありました」とか、「情報漏洩が出ました」といったようなインシデントが発生したときに、一般の大企業には様々なセクションがあって、それぞれが対応していました。しかしそれをやめて一括で管理するようになったセクション(CSIRT*3という)では、本来ならば取締役会のスタッフ的な位置づけが望ましいのです。

―本来ならば日本の企業もそれくらいしなければならないわけですよね。

萩原氏  日本では上場企業ならば100%、普通の中小企業だって、半分以上は持ってもいいのではないでしょうか。CSIRTというかっこいい組織でなくてもいい、何かあったときにしっかりと対応できるコンティンジェンシープラン*4を作ればいいのです。
 また、米国のフォレンジックというのは裁判所の証拠物件として、きちんと整合性を保てるようにしなければなりません。米国では被疑者のPCのハッシュ値*5と、警察が完全コピーをしたというハードディスクのハッシュ値が同一だったら、被疑者の弁護士は言い逃れができないのです。しかし、日本の場合は、そもそも裁判所の証拠物件に、電子情報を使うという環境がまだ整っていない。段々と壁は低くなってきていますが、まだ様々な問題があります。ましてやフォレンジック調査の分析をつけて提出することはまだ圧倒的に少ないのです。

裁判で活用するデジタル・フォレンジック

―デジタル・フォレンジックを裁判で利用するという機会は日本でも確実に多くなってきますよね。

裁判におけるフォレンジックの活用について語る萩原氏
裁判におけるフォレンジックの活用について語る萩原氏
萩原氏 日本の場合はカルチャーが違います。フォレンジックツールでも、ハッシュ値が同じだから裁判所に持っていって…というところまでいくかというと、ほとんどの場合そうはなりません。 日本の場合はそういう証拠物件を突きつけて、犯人が「すみません、私がしました」というところで終わりです。その回答を得るための重要な手段の1つに使っているのです。それがいいとか悪いとかいうつもりではなく、そういうカルチャーなのです。
  でもどんなにいいカルチャーだったとしても、論理立てて証拠をしっかりと揃えなければ、裁判に関わる人は困る訳です。やはり、求めるレベルは米国並みか、それ以上が必要だと思います。しかし実際は被疑者が「ここまでわかったならしょうがない。ごめんなさい、わたしがやりました」というところまでですね。今後は米国並に近づいていくとは思いますが。

日本における個人情報の意識

―個人情報の意識というのは米国と日本では隔たりがあるのでしょうか。

萩原氏 日本の方が遅れているとも言えますが、米国と比べると「感性」が違うのかなと思います。やはり、長年培ってきた生活習慣なのでしょうか。日本人は元々、農耕民族だったのですから。今だって、田舎に行けば鍵は閉めません。ドアは閉めるかもしれませんが、鍵は開けっ放しがほとんどではないでしょうか。

―もともと人を疑わない文化か根付いているというのがありますよね。

萩原氏 それが今段々と崩壊しかけています。いい意味でも悪い意味でも欧米化されています。鍵をかけなくて外出する―そういう国は世界的に極めて稀です。しかし日本固有のそのような文化が段々と廃れていっています。例えばフランスはアパートに鍵を4つくらい持っていて、自分のアパートのドアに3つ、エレベーターに1つという感じですね。フランスではそれくらいのカルチャーなのです。それがいい悪いではなくて、そういう生活で何百年も成り立ってきたのです。

Next


お問い合わせ

  コラムトップページへ▲