J-SOX時代のデジタル・フォレンジック、求められるのは入念な「準備」(1/5 ページ)
2006年12月に開催された「デジタル・フォレンジック・コミュニティ2006」では、「分かりやすく説明すること」「十分に準備を整えておくこと」の重要性が指摘された。
この記事の前半は「J-SOX時代のデジタル・フォレンジック」とはでご覧になれます。
2006年12月に「J-SOX時代のデジタル・フォレンジック」をテーマとして開催された「デジタル・フォレンジック・コミュニティ2006」では、2日間にわたって、企業のリスク管理や犯罪捜査、司法の場におけるデジタル・フォレンジックの役割について、実例を交えながらのプレゼンテーションが行われた。
2日目はまず、デジタル・フォレンジック研究会が発刊した「デジタル・フォレンジック事典」の編集責任者である萩原栄幸氏が、デジタル・フォレンジックの必要性を実感した過去の体験談について語った。
それは、知人がノートPCを紛失した一件だったという。
酔いつぶれてなくしたPCは「無事」だったか?
「知人は、ある金曜の会社帰りに自宅近くの店で酒を飲み、酔いつぶれて公園で寝てしまった。土曜の朝、起きてみたらかばんがなく、中に入っていたノートPCもなくなっていた。幸いなことに日曜にはノートPCが発見され、警察から引き取ることができたが、知人は『中にあった個人情報が見られていないかどうか確認してほしい』と言うのだ」(萩原氏)
萩原氏は、そのPCに保存されていたファイルのヘッダー情報を調べたという。すると、最終アクセス日に異常が見つかった。
「何も触れられていないならば、最終アクセス日は紛失した金曜までとなっているはずだが、いくつかのファイルにはその後にアクセスされた形跡があった。いろいろ調べてみたところ、ノートPCが届け出られた派出所の巡査が壊れていないかどうかを確認するために電源を入れ、いくつかのファイルを開いてみたことが判明した」(萩原氏)
さらに同氏は「情報流出につながる問題はないということで一件落着したが、この事件でいろいろ考えさせられた」と述べた。
これは、日本においてデジタル・フォレンジック技術を活用したごく初期の事例と言えるだろう。その後、デジタル・フォレンジックの技術は急速に発展し、さまざまなツールが開発され、より高精度かつ効率的な分析が可能になっていったのである。
情報セキュリティにおけるガバナンスとマネジメントの関係
「情報セキュリティマネジメントの標準、ISO 27000には情報セキュリティインシデントの管理も含まれており、情報セキュリティの監査を行う際には、デジタル・フォレンジックもインシデント管理の一環として監査対象となる」と語るのは、NPO日本セキュリティ監査協会顧問・公認情報セキュリティ主席監査人で工学院大学情報学部教授の大木栄二郎氏。NPO日本セキュリティ監査協会は、公認情報セキュリティ監査人制度や、その審査制度を運営している。
「資格は、監査人が専門家としての意見を述べるために重要なバックグラウンドとなる制度。現在は累計で400名程度だが、7000名くらいは必要とされるのではないかと考えている」(大木氏)
この監査制度は過去4年あまり運用されてきたが、これまで情報セキュリティ監査人などが行ってきたセキュリティ監査は、ほとんどが「助言型」と呼ばれるものだった。
「情報セキュリティのレベルを見たとき、複数のギャップがある。このうち、企業や組織が本来目指すべきレベルと、現在目指しているレベルの間にあるギャップを監査するのが『設計監査』で、現在目指しているレベルに対して実態のレベルを監査するのが『実装監査』と呼ばれている」(大木氏)
助言型監査は、それらのギャップがどれだけあるか、そしてギャップを埋めるためにはどのような方策が考えられるかを監査対象の企業や組織に助言するために行われる。一方、保証型監査は、ギャップがないことを証明するための監査だ。
NPO日本セキュリティ監査協会では現在、この保証型監査を促進するためのプロジェクトを進めている。そのプロジェクトリーダーを務めるのが大木氏だ。
「保証型のニーズは、過去の監査の実例から少しずつながら明確になりつつあるが、保証型監査の概念はまだ固まりきっていないというのが現状だ。フレームワーク策定に当たっては、まず、ある程度の範囲に限定していく方針で取り組んでいる。保証型監査を優先すべき領域を絞り込み、パイロット的な監査を実施していく予定だ」
大木氏はこう語り、保証型監査が特に求められる領域として業務委託契約を例に挙げた。委託先の企業が監査を受け、契約に含まれる情報セキュリティ管理規定を満たしていることを保証するという形だ。
「保証の対象としては『実態方式』『言明方式』の2つが考えられる。実態方式は、文字通り情報セキュリティの実態を保証の対象とするものだが、プロジェクトでは当面、経営者の言明を保証の対象とする言明方式を主として検討していく」(大木氏)
保証対象が「言明」というのは、「被監査主体の経営者が言明した情報セキュリティのマネジメントとコントロールが監査期間において機能し、運用されていること」だという。
これは、内部統制における監査と似たような考え方でとらえると分かりやすいのではないだろうか。つまり、保証型情報セキュリティ監査は、「経営者が利害関係者に説明するための監査」ということになる。
Copyright © ITmedia, Inc. All Rights Reserved.