J-SOX時代のデジタル・フォレンジック、求められるのは入念な「準備」（2/5 ページ）

[岡田靖，ITmedia]

　大木氏は、情報セキュリティ監査におけるガバナンスとマネジメント、そしてデジタル・フォレンジックの関係についても触れた。

　「ガバナンスの視点から見ると、ISO27000には、情報セキュリティのPDCAサイクルの枠の外側に経営者の責任がある、と書かれている。例えば、セキュリティリスクを受容するための基準や、受容可能なリスクの水準を決めるのが経営者の責任。情報セキュリティ監査は、助言型監査でPDCAサイクル内のCheck部分を担い、保証型監査はサイクル外にある経営者の責任を監査する。一方、インシデント対応としてのデジタル・フォレンジックは、それらと独立して行うものと私は考えている」（大木氏）

米国デジタル捜査の現状「犯罪の現場はデジタルへ」

　元捜査員で不正調査専門家である米Experianの主席調査官、リチャード・キャノン氏は、不正のスキームとデジタル・フォレンジック調査のトレンドを紹介した。

　キャノン氏は、警察官、麻薬取締捜査官を歴任した後、保険金詐欺捜査や会計検査官を務め、ホワイトカラー犯罪やコンピュータフォレンジックの専門家として活躍。公認不正検査士協会に参加し、現在は不正検査士マニュアルなどに携わっている、まさに不正調査のプロである。

　「コンピュータは不正の標的として、また不正の道具として用いられている。そして、そうした不正の証拠を記録している。これまでの不正は地域的に限定されていたが、インターネットの発達によってそれが変わった。犯罪の現場はデジタルの世界に移行している。新しいツールを使って行われる不正に対応するには、捜査する側も新しい技術を必要とする」（キャノン氏）

エクスペリアン社主席調査官のリチャード・キャノン氏

　キャノン氏の講演では幅広い不正や犯罪の紹介が行われたが、ここでは主にコンピュータを道具として用いた不正について触れる。

　「例えば、支払金額や労働時間などの数値データを改ざんしたり、クレジットカード番号などを入手する、あるいは銀行口座上の金をひそかに他の口座へ移したり、資産や負債を移すといった不正がコンピュータ上で行われている」とキャノン氏は概説し、入力の不正、プログラムの不正、出力の不正の3つに分けて説明した。

　「最も一般的なのは、入力操作の段階だ。入力前や入力中にデータを変更する手法は『Data Diddling』と呼ばれ、高度なコンピュータの知識が必要なく、実行しやすく発見しにくい。しばしば、データの入力に関わる現場の従業員によって行われている」（キャノン氏）

　これに対し、「トロイの木馬などのプログラムをコンピュータに追加することで行われるプログラムの不正は、高度な専門的知識が求めらるが、その発見はなかなか容易ではない。そして、出力の不正とは、内部の関係者がコンピュータの出力を変更するためにその命令を偽造するもので、多数の口座などから気付かれない程度にごく少額ずつ盗み取るという犯行だ。これは『Data Shaving』『Round-Down Fraud』などと呼ばれている」（同氏）

　企業内部の不正としては、例えば請求書に関する不正がある。架空企業を使うものから私用の費用請求を会社に払わせもるのまで、さまざまな形で行われている。

　こうした不正は基本的には文書を偽造して行われるが、しばしば文書の偽造にコンピュータが利用される。まとめ払いを担当する従業員が、自分の支払い分を会社に払わせていた例では、自らの口座情報をまとめ払いのシステムに入力していたという。ちなみに、この不正は犯人が病気で休み、別の従業員がまとめ払いを引き受けた際に発覚したとのことだ。

　架空の従業員を登録して、その分の給与を不正に得るような場合は、従業員名簿を操作できる権限を持った人物によって行われる。同時に、タイムカードあるいは電子的な勤怠記録なども偽造されることになる。

　こうした不正を検出するには、電子的な証拠の調査が欠かせない。

　「容疑者のコンピュータには、偽造されたドキュメントや画像、Webのキャッシュ、プリンタのスプールファイルなど、さまざまなファイルが保存されている」（キャノン氏）。デジタル・フォレンジック技術で削除されたファイルの痕跡を検出することも可能だ。また、企業では侵入検知システムを設置したり、Webサイトなどのログを分析するといった対策も有効だと紹介した。