AOSリーガルテックが提供するフォレンジックサービス
最後に登壇したのは、AOSリーガルテックフォレンジック事業部長・弁護士の重政孝氏である。重政氏は、最近の情報漏えい事件を紹介するとともに、もし、情報漏えい事件が発生してしまった場合、当事者への責任追及を行うためには、事後的に検証できる証拠を確保する必要となる。そのために役立つのがフォレンジック調査であると語った。
では、フォレンジック調査とはどんなことをするのか。基礎的な部分を紹介しよう。まずデジタルデータであるが、PC、スマートフォンに大量に保存されている。最近は、IoTといわれるように、冷蔵庫、車、体重計などにもデジタルデータが保存されるようになってきた。
つまり、情報漏えい事件などが発生した場合、デジタルデータは行為者や行為事実を示す重要な証拠となる。その一方で、デジタルデータの特徴として、複製、消去、改変が非常に容易であることも大きな特徴である。そのため、大幅に改変されたデータから、"証明力を過大評価"してしまうこともある。重政氏は、デジタルデータが、十分な証明力を持つ証拠と認められるには、その取り扱いに通常の証拠とは異なる配慮が必要となると指摘する。その手法がデジタル・フォレンジックといえる。より、具体的には、図12のようになる。
指紋を採取する際に手袋をするように、PC内のデータを証拠とする場合には、たんに電源を入れて調べればよいということではない。では、どのようにするのか。その前提として、物理コピーと論理コピーについて紹介しよう。
図13の違いがわかるであろうか?OSで削除を行っても、HDDにはデータは存在し続ける。上書きされるとそのデータが読めない状態になる。つまり、図11でいえば、削除ファイルが存在するセクタが重要となる。多くの場合、なんらかの犯罪行為などがあると、削除を行うことで、証拠隠滅を図る。フォレンジック調査では、そのような削除されたデータを復元し証拠となるようにするのである。そのため、HDDのフォレンジック調査を行う場合、図14のような方法がとられる。
原本のHDDから、二重に物理コピーを作成する。そして、ハッシュ値で同一であることを確認する。さらに、物理的HDDからディスクイメージを作成し、実際の解析作業を行うのである。携帯電話やスマートフォンでは記憶メディアを、基盤から取り外しての作業となる。
具体的なフォレンジック調査の事例も紹介された。ここでは一例を紹介しよう。
退職時に顧客情報などを持参してというパターンである(情報漏えいとしては、もっとも多いパターンである)。この事例では、さらに営業資料なども漏えいした可能性がある。図16は、USBメモリのアクセス履歴である。
退職した幹部社員のUSBメモリが上司のPCに接続されていることがわかる。さらに、接続時刻をみると、7:32となっている。始業前の時刻であった。つまり、上司が出社するまえにUSBメモリを接続し、情報を入手していたことがわかる。フォレンジック調査の結果は以下のようになった。
・復元した削除メールから、就業期間中に新会社設立メールの作成、および在職者に転職の依頼メールを多数送信していた
・顧客情報、および見積書を、個人のUSBメモリにコピーしていた
・さらに、そのUSBメモリで、上司のPCに接続し会社情報をコピーしていた
この調査を踏まえ、損害賠償請求を行っている。AOSリーガルテックでは、同様の情報漏えい対策として、退職者のPCの保全や調査サービスも提供している。
上述したソリューションとの関連であるが、MylogStar 3を使っているのであれば、そのログはそのままフォレンジック調査に使うことができる。また、マイナンバーファインダーでファイルの保存先を特定しておけば、フォレンジック調査用のツール使う場合にも、スムーズ調査を行うことができる。フォレンジック調査に直結するソリューションとなるので、情報漏えい対策としてもできれば導入しておきたいところだ。