サイバー犯罪の脅威とデジタル・フォレンジックの役割とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > サイバー犯罪の脅威とデジタル・フォレンジックの役割とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

上原哲太郎 京都大学学術情報メディアセンター准教授に聞く「サイバー犯罪の脅威とデジタル・フォレンジックの役割とは」

京都大学学術情報メディアセンター准教授
上原 哲太郎
「サイバー犯罪の脅威とデジタル・フォレンジックの役割とは」

―現在のサイバー犯罪への民間企業の対策について、ご見解を聞かせて下さい。

自治体のIT部門強化を訴える上原氏
自治体のIT部門強化を訴える上原氏
上原氏  民間に関しては、サイバー犯罪についての意識は雲泥の差です。大企業やITに深い企業はある程度認識して対策をしていますが、あるレベル以下になるとセキュリティというものを全く考えなくなってしまうように感じます。例えばあまり規模の大きくない、かつコスト低減圧力が強い状況の企業は、セキュリティに関する保障や担保が全くない状態でWEBサイトを作っているのではないでしょうか。そういった状況が、SQLインジェクション*5などを呼び込む土壌になっていると思います。こういった企業は、経営者の意識を変えない限り、サイバー犯罪の餌食になり続けてしまうでしょう。情報セキュリティのレベルを社会全体で底上げする方法は、国で考えてもらうしかないかな、と思います。資格や認証制度をうまく利用して、社会の情報セキュリティの最低ラインを持ち上げる仕組みが国全体の制度として必要です。

セキュリティとプライバシーの兼ね合い

―デジタル・フォレンジック研究についての課題・展望などを教えてください。

上原氏  ネットワークのフォレンジックス的なことで課題になってくるのは、ネットワーク上で行われた不正行為に参加した個々の人間は誰なのか、という追跡の可能性を今より少し上げることでしょう。ただ、これは諸刃の剣でして、追跡の可能性は上げれば上げるほどプライバシー問題も顕在化します。ネットワーク上で個人情報の不正な収集が容易になるようなことが懸念され、「技術屋」としてはそこをうまくマネージする仕組みを世の中に広めることが必要だと考えています。

 個人的にしまったな、と思ったのは携帯電話の認証に関する最近の動きですね。2008年春に、我が国ではコンテンツ産業の振興を図るという目的で、ユーザが携帯サイトを閲覧したとき、携帯回線に固有のIDが各サイトで取得できるようになりました。いちいちIDとパスワードを入れなくても個人が認証されますので、自然とデジタル・フォレンジックが有効になっているという一見便利なものです。しかしこの仕組みは、どのサイトも同じIDが取れてしまうので、プライバシー上危険な要素を含んでいます。ある携帯サイトでショッピングをすると、その際に当然住所や名前を入れますよね。このとき住所と結びついたものとしてIDが取得されます。この個人情報がIDとセットで漏洩したとすると、例えばアダルトサイトなどにアクセスした瞬間に、IDから逆引きして「XXさん、あなたに10万円請求します」と個人名を特定した形で不正請求することもできるわけです。さらに住所も漏れているとなると、恐喝に使うのも容易にできてしまいます。

 この問題の本質は、IDが法的機関やプロバイダにだけ伝わるものであればよかったのですが、サイトを立ち上げれば誰でも個人のログを取れるという状態で、なおかつIDが回線に紐付けされた共通のものというところです。技術的にはこれは比較的簡単に緩和できる要素がありまして、例えばサイト毎にバラバラのIDを送出するような仕組みにすればいいだけの話なんですよね。この話を決める場に、認証の容易さによるコンテンツ振興という視点と、犯罪捜査という視点だけが残っていて、プライバシー上の危機についての論議がほとんどなかったのだろうと思うと、一技術者として残念で、もう少し声高に叫んでいれば、という後悔があります。

デジタル・フォレンジックの展望

上原氏  今後デジタル・フォレンジックは、幅広く捉えるとサイバー社会においてデジタル証跡を確実に残すことを通じて、安心・安全な社会を作ろうという話になると思います。このときにプライバシーについて十分考えておかないと別の脅威が発生することを忘れないように活動しなければなりません。もちろん今は「サーバを管理する人はきちんとログを取りましょう」と呼びかけていくことから始めているのが現状ですが、先々起こりうる問題を予見し、それに対処できる技術に取り組むのと同時に、問題の存在自体を世の中に広めることが研究者としての私の仕事だと思っています。

 デジタル・フォレンジックは、コンピュータの技術と法律や社会制度との接点を見つけていくものだと私は捉えています。単なる無味乾燥な機械的ログに評価を加えて、それを「悪いことをした証拠だ」「何もしていないことの担保だ」と世間の人が認めるような証跡に高めていくことがデジタル・フォレンジックのひとつのゴールだと思います。例えば、裁判の場でデジタル・フォレンジックが話題になったときに、電子的な証跡が日本の裁判制度でどう評価されているかを注視し、自分の活動の中から提言が上げられればと思っています。
フォレンジックのゴールは「世間が認めるものになること」
フォレンジックのゴールは「世間が認めるものになること」

※このインタビューとセキュリティプラットフォームは一切関係ありません。



注釈

*1:サイバー犯罪に関する白浜シンポジウム
1997年に日本で初めてネットワークセキュリティの研究を目的に開催されたシンポジウム。2008年に情報化月間表彰の情報セキュリティ部門で経済産業大臣賞を受賞した。

*2:コンパイラ
プログラミング言語で書かれたプログラムを機械語に一括変換するソフトウェア。

*3:サイバークリーンセンター
総務省と経済産業省が共同で2006年に設立したボットネット(ユーザのコンピュータを遠隔操作するプログラムを使用してフィッシング詐欺などを行うこと)対応を行う組織。

*4:オンライン結合
ここでは自治体の持つ情報システムを自組織内の他の情報システムや他組織(他自治体や公共団体等)の持つ情報システムと結合し、直接データのやりとりを可能とすること。

*5:SQLインジェクション
WEBアプリケーションの脆弱性に付け込んで、悪意のあるSQL文を使いデータベースに不正アクセスをする方法。データベースに侵入し情報を盗む犯罪が多いが、近年は閲覧者が不正に改ざんされたサイトから悪意あるサイトに巧みに誘導されてマルウェアを植えられる被害も増えている。



【上原 哲太郎(うえはら てつたろう)氏 プロフィール】

【現職】
京都大学学術情報メディアセンター准教授

【業界関連】
特定非営利活動法人情報セキュリティ研究所副代表理事
特定非営利活動法人デジタル・フォレンジック研究会理事
和歌山県警察本部サイバー犯罪対策アドバイザー
京都府後期高齢者医療広域連合情報公開・個人情報保護審議会委員
枚方市個人情報保護審議会委員
芦屋市CIO補佐官 等

【略歴】
1990年3月 京都大学工学部情報工学科卒業
1992年3月 京都大学大学院工学研究科情報工学専攻修士課程修了
1996年3月 京都大学博士(工学)
1996年4月 和歌山大学システム工学部講師(情報処理センター専任講師)
2003年4月 京都大学大学院工学研究科助教授(附属情報センター/電気工学専攻)
2006年1月 京都大学 学術情報メディアセンター 助教授
2007年4月 京都大学 学術情報メディアセンター 准教授

【主な研究テーマ】
システム管理と情報セキュリティ
ネットワーク社会学
ハイパフォーマンスコンピューティングとシステムソフトウェア

【主な著書】
『デジタル・フォレンジック事典』(日科技連) 共著 2006
『情報社会とコンピュータ』(昭晃堂) 共著 2005


(掲載日:2009年2月23日)

Back


お問い合わせ

  コラムトップページへ▲