証拠を収集するポイント

呉井嬢次(Johji Kurei) 2005-09-14 08:43:00

 情報システムに重要な情報が蓄積され、利用されるようになると、情報システム自身の安全性が求められる。通常は、インシデントが発生する前に対処するコンプライアンス体制、マネジメント機構が重要な役割を果たす。しかし、悪意を持った者(役員、従業員を含む)によって引き起こされる情報漏えいでは、その情報の適切な扱い、確実な対策が欠かせない。

ログは十分な証拠になる条件を考えておこう

 さて、不正アクセスによるITトラブルでは、ログが重要な証拠として取上げられる。提出されたログに書かれた内容だけで、不正アクセスを行ったと思われる被疑者を処罰できるだろうか。もし経営者の立場なら、判断によっては解雇することは可能だ。しかし、被疑者が「不当な解雇である」として会社を訴えることも、経営者は考慮しておく必要がある。不正アクセスされたマシンに残されたログには信憑性がなく、証拠として不十分なことは、不正アクセス者がログを改ざん可能なことから推測できる。つまり、情報システム部門から提出されたシステムのログだけで安易に判断するのは注意した方がいいということだ。注意して欲しいのは、「ログが証拠にならない」と言っているのではない。法的にも証拠として通用する条件を知り、事故が起きる前に備えておくこと、これがポイントだ。

証拠にもランクで分けて考える

 被疑者を特定する証拠には、幾つかのランクに分けて考えるとスッキリする。IT業界では、レイヤーと言った方が分りやすい。例えば物理層に相当する証拠といえば、認証システム、物証において、十分な直接的な証拠である。ネットワーク層、アプリケーション層になってくると部分的、限定的な証拠となることがわかる。中継されたデータからのアラートログ、プロキシーのログは間接証拠的な位置づけとなる。システムにはOS、アプリケーション、セキュリティ装置によってログが出力され、保管することが行われているが、その証拠としての位置づけを明確にしている企業は意外と少ない。これまでの役員や社員の不正行為については、ログを突きつけられえれば、認めてしまうパターンが多かった。しかし、これからはログにも信憑性が問われることになるのは間違いない。

証拠の提出を拒否されない為にすべきこと

 情報システムを整備しても、最後に1つだけ注意すべきことがある。それは、従業員(役員を含む)に証拠の拒否をされないように準備しておくこと。会社から貸与されたPCでも、私用を禁じていなければ、プライベート情報が保存されていることを理由に提出を拒否されることがある。このようなことを企業は避けるために、情報セキュリティ指針に要件を含めておく必要がある。この辺りは、社内文書をセキュリティの専門家にチェックしてもらえれば防ぐことができる。

 最後に、証拠として集めたコンピューター機器、ログ等については、状態の保全が重要になる。メモリ上に展開されている情報が代わらないようにするには技術者とは別のスキルを持った人(たとえば、不正調査士)が対応する。証拠として押さえても、PCを起動するだけで内容が変化しないようにすること、フォレンジックな世界は奥が深いのだ。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR