デジタル・フォレンジック・コミュニティ2010が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > デジタル・フォレンジック・コミュニティ2010が開催(2)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
デジタル・フォレンジック・コミュニティ2010が開催

 「デジタル・フォレンジック・コミュニティ2010」2日目は、主に情報漏洩の観点から、事業リスク低減に向けた講演がされた。

経済産業省 経済産業政策局 知的財産政策室の
石原徹弥氏
経済産業省 経済産業政策局 知的財産政策室の
石原徹弥氏
 経済産業省 経済産業政策局 知的財産政策室の石原徹弥氏は「企業における適切な営業秘密*1管理について」と題して講演。2009年の「不正競争防止法」の改正を受け、2010年4月に改訂された「営業秘密管理指針」の内容を解説した。
 今回の改訂では、「営業秘密侵害に備えた証拠確保のための措置」に関する記載が加わった。これは、現実問題としてどれだけ厳重管理をしても、情報漏洩のおそれを完全になくすことはできないという観点から、営業秘密が漏洩した場合に備えた管理方法(証拠確保措置)を講じようとするものだ。
 具体例としては「アクセス権者等のPC利用状況や通信の記録を保存する」、「営業秘密を保管している施設に監視カメラを設置し、記録する」といったものが挙げられる。

 企業の利益を守るべく情報を漏らさない策を練ることは重要だ。しかし情報を「営業秘密とし、法律上の保護を受ける」という観点からすると、必ずしも一律に高度な水準が要求されるものではない。石原氏は「IT技術を駆使した高度な管理方法、対して、紙媒体に『社外秘』などのスタンプを押すといった一般的な管理方法、それぞれを組み合わせ、ビジネスモデルに適した合理的な策をとることが重要である」と話した。
国際マネジメントシステム認証機構
代表取締役 瀬田陽介氏
国際マネジメントシステム認証機構 
代表取締役 瀬田陽介氏
 国際マネジメントシステム認証機構の瀬田陽介氏は、クレジットカードの顧客情報漏洩について講演。クレジットカードを取り巻く環境として、約3億件の会員データが流出した、米国における情報漏洩事件の例を紹介し「この事件に驚いたのは、被害規模の大きさだけでなく、情報漏洩したカード会社がPCI DSS*2というセキュリティ基準に準拠していたことである」と話した。
 クレジットカードに関するフォレンジック調査の国際標準化の動きについても紹介。カード会社との契約において、加盟店等はカード情報漏洩事故が起きた際、フォレンジック調査が義務付けられている。その際、フォレンジック調査機関の認定はカード会社ごとに行われていたが、2010年11月から認定フォレンジック機関(PCI Forensics Investigators:PFIs)が実施。各カード会社共通の対応が可能となった。
 瀬田氏は「重要なのは情報を守ることであり基準に準拠することではない。ただ“ものさし”が国際標準になることで、確認不足や解釈の幅による漏洩事故を防げるのでは」と話した。

 2日間の締めくくりとなる最終セッションでは、デジタル・フォレンジック研究会が2010年4月に発表した「証拠保全ガイドライン」の適用状況が報告されるとともに、今後の整備推進について議論された。

 証拠保全ガイドライン(以下、ガイドライン)とは、電磁的証拠保全の一般的な手続きをどの程度行えば、データが訴訟に際して、利用可能な電磁的証拠となりうるのか、まだ標準のガイドラインのない日本国内においてその指標となるものを目指すものである。
サイバーディフェンス研究所 上級分析官 名和利男氏
サイバーディフェンス研究所 上級分析官 名和利男氏
 サイバーディフェンス研究所の名和利男氏が、ガイドラインの利用状況について講演した。同氏は、実際にガイドラインを活用した、法執行機関従事者やフォレンジック事業者に対しアンケート調査を実施。アンケートでは、ガイドラインが現場ですぐ使えるか(即用性)、分かりやすいか(容易性)に関する意見が多く見受けられたことを挙げた。「現場ですぐ使うためには、流れ図のようなものが必要。証拠保全手続き全体を見通せるフローチャートのようなものがあれば、効率的な作業ができる」といったコメントを紹介した。
 また「公判維持に耐えうる証拠保全」についても多くの意見が寄せられた旨も紹介。「捜査機関の連携や法廷を意識した、より厳格な証拠手続きが必要との声も多く、今後、警察からのアドバイスを受けつつ整備推進の検討材料としたい」と名和氏は話した。
「証拠保全ガイドライン」についてパネルディスカッションが行われた
「証拠保全ガイドライン」についてパネルディスカッションが行われた
 引き続き、パネルディスカッションでは「証拠保全ガイドライン」の今後の整備推進について議論された。
 座長である京都大学准教授の上原哲太郎氏が「捜査現場の問題」としてテーマを投げかけたのに対し、ネットエージェントの松本隆氏は「フォレンジック(電子証拠収集)を活用しようとする時、技術面だけでなく、その概念をマスターしなければならない。証拠として使えるものを探し出すという感覚は、技術とは別の難しさがある」と話した。名和氏は「現物の無い物(データ)をどうやって証拠として保持しておくのか、証拠としてどう担保するかが課題である」と答えた。
 警察大学校の野本靖之氏は、証拠保全についてコメント。「インシデント発生時、状況を正確に把握するためには、関連するサーバをネットワークから切り離しておくのがベスト。しかしそれでは業務が止まってしまうという問題がある。捜査協力に際して、経営者層レベルでの判断が必要になってくる」と話した。

 2日間にわたるセミナーでは、クラウド利用を始めとする様々な議題が設定され、活発な議論が交わされた。事業の成長戦略、リスク低減という観点からもデジタル・フォレンジックが果たす役割は大きくなっていくと思われる。「証拠保全ガイドライン」の成熟も含め、さらなる研究を期待したい。



デジタル・フォレンジック研究会 証拠保全ガイドライン 第1版 (PDF)

ビッグデータをテーマにデジタル・フォレンジック・コミュニティ開催(2015/2/9)

人材育成の話題も出た2013年のシンポジウム(2014/2/6)

サイバー攻撃などが話し合われた2012年のシンポジウム(2013/1/15)

2011年はサイバー攻撃を受けた時の対応が議論された(2012/1/5)

2009年は「事故対応社会のデジタル・フォレンジック」について(2010/1/18)

「ITリスク学」などが議論された2008年の研究会(2009/1/27)



※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:営業秘密
不正競争防止法によって保護される、秘密管理性・営業上の有用性・非公知性の3要件すべてを満たす情報。

*2:PCI DSS
クレジットカード情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準。




お問い合わせ

  コラムトップページへ▲