「J-SOX時代のデジタル・フォレンジック」とは（1/6 ページ）

12月に開催された「デジタル・フォレンジック・コミュニティ2006」では、日本版SOX法の成立を踏まえ、さまざまな観点からデジタル・フォレンジックについての議論が交わされた。

[岡田靖，ITmedia]

　12月18日〜19日の2日間、「デジタル・フォレンジック・コミュニティ2006」（主催：デジタル・フォレンジック・コミュニティ2006、特定非営利活動法人デジタル・フォレンジック研究会）が東京都内で開催された。

　このイベントは2004年から開催されてきた。第3回となる今回は「J-SOX時代のデジタル・フォレンジック」をテーマに、デジタル・フォレンジックと密接な関係のある内部統制の話題を中心とした講演が行われた。

　デジタル・フォレンジックは、コンピュータが持つさまざまな情報を犯罪捜査や訴訟に役立てるための技術体系として発達してきた。コンピュータを証拠品として押収したり、サーバのログを差し押さえるなどして、それらの情報を分析し、ITを利用した犯罪を立証していこうというものだ。

　近年では、情報漏えいルートの解明やその抑止力として、さらには業務効率を向上するといった目的から、企業内でも使われるようになってきた。企業においては、クライアントの操作履歴を取得したり、ネットワーク上に流れるデータを収集して、業務外の操作が行われていないか、許可されていないアプリケーションが使われていないかといった事柄を調べるために活用されている。

　さらに最近では、新会社法や金融証券取引法、いわゆる日本版SOX法（J-SOX）の成立にも関連し、内部統制の観点からも重要な存在となりつつある。

　一方で、特に企業での内部調査などにデジタル・フォレンジックを用いることは従業員のプライバシーを侵害するのではないか、といった問題も指摘されている。ITと法律、そして企業活動全般に関わる広範な議論を踏まえ、きちんとしたポリシーをもって運用することが欠かせないというのが現状だ。

　こうした問題を語り合うため、2004年夏に有志による研究会として発足したデジタル・フォレンジック研究会は、同年末に第1回のデジタル・フォレンジック・コミュニティを開催した。同年12月15日に特定非営利活動法人（NPO）としての認証を受けている。

　それからちょうど2年後となる2006年12月15日には、過去の活動成果を踏まえて「デジタル・フォレンジック事典」を発刊した。冒頭の挨拶に立った会長の辻井重男氏は、「企業には、監査報告書などの公開で市場の信頼を得ることと、機密情報や個人情報を保護することの両方が求められている」と、情報セキュリティの現状を語り、デジタル・フォレンジックの重要性を強調した。

NPOデジタル・フォレンジック研究会会長、情報セキュリティ大学院大学学長の辻井重男氏

情報コントロールの限界

　今の企業にとって、情報の管理・統制は非常に大きな課題となっている。情報の流出を防ぐことと、求められる情報を公開することの両面が求められているのだ。

　NPOデジタル・フォレンジック研究会理事で南山大学大学院法務研究科教授の町村泰貴氏は、そのコントロールの困難さを説いた。

　情報流出に関しては、Winnyのウイルス被害やメール誤送信などによる情報流出事件が多発したことを挙げ、「その結果、個人情報保護法に代表されるように、情報流出の防止が強く求められるようになってきているが、相変わらず情報流出事件はなくならない。システムのダウンサイジングが進んで使い勝手がよくなると同時に脆弱性も増加したこと、組織構造の分散化や被正規雇用の増大によって情報統制が困難になってきていることなどがその背景にある」と解説した。

NPOデジタル・フォレンジック研究会理事、南山大学大学院法務研究科教授の町村泰貴氏

　逆に、情報開示における問題も多い。近年では企業の不祥事が相次いで話題になっているが、不利な情報を開示したがらない企業も少なくない。

　「不祥事を隠蔽しようとして余計に問題を拡大させ、かえって大きな損害を招いてしまうケースも増えている。匿名掲示板など、関係者が匿名で情報を出せる環境が存在しており、情報を隠しきれない時代になってきた。『不祥事があれば情報を開示するのが当然』という風潮ができ、隠し続けようとすれば世間の批判が集まるようになっている」（町村氏）