不正アクセスなどコンピュータに関する犯罪が生じた時、情報漏えいや内部不正を調査する技術として注目されている「コンピュータ・フォレンジック」。内部統制とのかかわりも含めお話いただきました。

コンピュータ・フォレンジックとは何か

フォレンジックス（Forengics）は、英語で「科学捜査、鑑識」を意味します。指紋による科学捜査をバイオロジー・フォレンジックス、犯罪捜査で衝突跡の塗料から車を特定していくような捜査をケミストリー・フォレンジックスと言います。同じように、コンピュータに対する科学捜査をコンピュータ・フォレンジックと言います。本来、名詞形の「フォレンジックス」が正しいの ですが、日本ではフォレンジックと言うことが多いです。

フォレンジックスはすべて、証拠保全、解析、報告という3段階から構成されています。コンピュータの場合、証拠保全はフォレンジックス専用の装置を使い、端末からコピー先のハードディスクに100%物理コピーを行ないます。このとき元のコンピュータのデータには一切手を加えません。こうして証拠保全をした後、解析専用コンピュータにつないで「誰が何をしたのか」を解析し、報告します。

フォレンジックスの最終的な目的は、法的に問題を解決することです。そこでポイントとなるのがデータの信憑性です。たとえば、プリントアウトしたメールだけでは証拠にはなりません。デジタルデータに証拠性を持たせるには、証拠保全から解析、報告までの経路がしっかり記録されていることが必要です。もう一つは、途中でデータが改ざんされていないと証明できることです。

データ改ざんの有無については、ハッシュ値という値を比較して同一性を確認します。ハッシュ値はキーボードを押したり、電源を入れたりするだけでまったく違う値になります。その正確性は指紋やDNAの確率よりも高いといわれ、証拠性は法廷で十分に通用します。

ログ解析は、フォレンジックスのほんの一部を表しているに過ぎません。実際には直接データの本文を覗き、この人はいったい何を話して何を考えて、どんなやり取りをしたのかということを調査しています。削除されたe-メールも復元し、画像やエクセル、パワーポイントなど添付ファイルも探し出して解析します。

コンピュータ・フォレンジックが対象とするもの

コンピュータ・フォレンジックの対象領域は「調査」と「情報開示」で、警察、税関などが行なう犯罪捜査をはじめ、企業においてもさまざまに活用されています。とくに会計不正や横領、背任行為、知的財産や個人情報の漏えい等を含めた内部不正の調査、解決において、その威力を存分に発揮しています。また、投資先のデューデリジェンスを行なうときに、相手が出してきた財務諸表の信頼性を判断するのにも用いられています。欧米では、数百億円規模の投資案件が絡むと、デューデリジェンスの際にコンピュータ・フォレンジックを利用することがあります。そのほか、米国の民事訴訟手続きにはe-ディスカバリー（電子証拠開示）とい うステップがあり、そこで正しく情報開示し、また訴訟と関係ないデータを出さないためにコンピュータ・フォレンジックの技術が使われています。

日本でフォレンジックというと、ネットワーク・フォレンジックを指すことが多いようですが、これはネットワーク越しに端末等を監視して、情報を収集するものです。 一方、当社が行なっているコンピュータ・フォレンジックは、端末あるいはサーバー等からツールを使って直接、証拠保全を行なうものです。

ネットワークを介すると、非常に広範囲に情報を取ることができます。しかし情報量が多いので、広く浅くしか取れません。一方、コンピュータ・フォレンジックは直接、調査対象者のコンピュータにアクセスし、その人に関連する情報を深く詳しく得ることができます。さらにそのデータは、法的にも通用する有効な情報です。 ただし、一つひとつに非常に手間がかかるので、たとえば一度に1万人分のデータを取るのは物理的に不可能です。

そこで、ネットワークを使って予調、絞り込みを行ない、次にコンピュータ・フォレンジックを使って特定し、最終的に訴訟までもって行くという連携が、企業におけるフォレンジック基盤の典型的なかたちとなっています。

当社におけるコンピュータ・フォレンジックの実際

UBICは日本にまだ1社しかない、コンピュータ・フォレンジックの専門企業です。国内唯一のコンピュータ・ フォレンジック・ラボを持ち、そこにフォレンジックス専用のネットワークを組んで、1ヶ月で約200台のPCを処理する能力を有しています。

当社では、フォレンジックス専用装置の販売や捜査員のトレーニングも行なっていますが、民間企業が自力でフォレンジックスを行なうのは実際のところ難しく、当社が委託を受けて調査から訴訟対応まで行なうケースが大半です。あるいは、証拠保全や解析の部分を我々にお任せいただき、報告書の作成は企業側が担当するという連携を行なっているところもあります。

当社の一番の特徴は、不正調査技術に基づいたフォレンジックスを行なっていることです。不正という特殊な事象をプロとして調査し、解決する技術が前提にあり、そのツールとしてコンピュータ・フォレンジックを使っているのです。通常のベンダーは、IT技術の延長線上でフォレンジックスをやっているため、なかなか訴訟へもっていけません。一般的な業務上の失敗やミスと、不正はまったく違うからです。当社では、公認不正検査士という資格を持った人間が、調査方針をたててフォレンジックスを行なっています。

2003 年8月の設立以来、当社ではすでに多数の案件を、コンピュータ・フォレンジックを使って解決しています。たとえばある退職者による情報の持ち出しのケースでは、本人の自宅まで捜査に行って証拠となるデータを見つけました。社内のセキュリティが厳しければ自宅が作業場になるわけで、自宅のPCまで調査を行なわないと会社を守れないということです。このほか、会社や上司等への怨恨からウイルスをばら撒いたり、会社名義のセミナーを勝手に開いて、その参加費を横領していたケース等もありました。

こうした場面で調査の進行を妨げる典型的な問題が、内部監査やIT担当者が自分たちで調査しようとして、先にコンピュータに触ってしまうことです。重要なデータにアクセス記録がたくさん残ってしまい、後から調査すると誰が触ったのか、なぜこのときに触ったのかという事実関係が不明確になってしまいます。もう一つ注意していただきたいのは、スキャンをかけて情報を検索することです。スキャンでは大量のファイルにアクセスしていきますので、数秒間のあいだに数十ファイルにアクセス記録が残ってしまい、本来証拠としたかったタイムスタンプが変わってしまうことがあります。データに安易に触ることは、証拠を隠蔽する結果につながることがあるので、気をつけなければなりません。

ダメージ・コントロールというコンセプト

企業のリスク・マネジメントでは、リスクを洗い出し、それらのリスクに対して抑止策をとり、何か起こったときの影響度を軽減するといったリスク・コントロールをします。現状を見ると、リスクの洗い出しや抑止策に重点が置かれていて、実際にオペレーショナル・リスクが発生した場合の緊急対応の体制、すなわちクライシス・マネジメントの部分が十分ではない企業が多いようです。

「ダメージ・コントロール」とは、インシデント・レスポンス・チームが中心となって、問題が起こった際に、被害を最小限にして本来の企業活動を継続させるためのマネジメント技術です。インシデントは絶対起こらないとはいえません。起こる確率は必ずあるのです。もし問題が起こった場合、ダメージをコントロールして業務を復旧させ、外からの風評被害などを防ぎ、自分たちが主導権を持って情報をディスクローズする体制ができているか。これによって、企業が継続できるかどうかが大きく違ってきます。

ダメージ・コントロールで重要なことは、リアクション・タイムの低減です。問題が起こってからいかに早くターゲットを見つけて対応するか。そのためには、ネットワーク監視ツールの活用なども一つの手段ですが、もっとも大切なのは内部通報システムの整備です。不正が見つかる一番のトリガーは、じつは告発です。人間の目による監視が最も有効だということです。情報セキュリティというと、ハッカーなどのハイテク技術を持った人による脅威を連想しますが、実際に不正を犯すのは、テクノロジーの知識はないが権限のある人、あるいは会社から信頼されている人だったりするわけです。こうした事実を正しく認識しなければなりません。

緊急対応をするために責任者を置き、有事の際の特別ルールを設置しておきます。これは権限の委譲だけでなく、対応方法にまで言及しておくべきです。個人の自宅のPCまで見るか、机の中まで見るか。実際にはそこまでやらないと捕まらないことが多いので、そうした手順の採用を可能にしておくことが大事です。さらに、どの段階に来たらどう対応をするかをしっかりマニュアル化して、訓練を重ねることが重要です。

こう考えると、ダメージ・コントロールをするインシデント・レスポンス・チームには、非常に特殊な技術が 要ることがわかります。そういう観点から、この部分をアウトソーシングで専門家に任せるというのも一つの考え方でしょう。

コンピュータ・フォレンジックの具体的な流れ

当社が実際に行なっているコンピュータ・フォレンジックの流れを説明します。通常、企業でログのモニタリング等により不正の兆候が見つかると、当社へ調査の依頼が来ます。すると我々は、まず調査準備を始めます。これは本格調査に向けての予備調査のようなものです。この段階では、周りの人にわからないように行ないます。休日や夜間など、対象となる社員が不在のときに現場に行って、証拠保全をします。本体のコンピュータは書き換えないので、触られたほうは気づきません。

こうして証拠保全をして、解析をします。この間、並行して4段階の不正調査が行なわれます。フェーズ1 は、机の上に置いてあるメモなど、簡単に得られる情報の調査です。フェーズ2では社内情報、人事情報、その人の健康記録などを見ます。これは病気で自暴自棄になって不正を行なう例もあるからです。フェーズ3では、社外の事実関係や対象者の経済状況を調査します。

ここまでの調査で不正が確実と思われたら、本人にアタックします。これがフェーズ4です。ここで失敗すると、相手は本格的な隠蔽工作に入ってしまい二度とチャンスはありません。また、暴力行為や心神喪失などを起こされる場合があるので、十分に注意が必要です。 さらに、社内規定や法的な部分についてある程度弁護士と調整しておかないと、後々問題になります。

こうして本人と話をして捜査への協力を依頼し、必要があれば自宅へ行きます。その後、調査結果を出して間違いないことがわかると、報告書をまとめ、訴訟に持っていったり、自分たちから積極的にディスクローズを行ないます。場合によっては警察に通報することもあります。仮にこの後、警察が入って情報がすべて押収されても、自分たちはデータを持っているのでいつでもディスクローズできる体制となっています。

もし企業側が自ら不正調査を進めなかった場合、不正の事実が外部に知れた時点で一方的に強制捜査になり、データや証拠を持っていかれます。すると自分たちでは内部調査が不可能になり、マスコミ等への説明も十分にできないため、会社へのダメージが拡大してしまいます。

内部統制とコンピュータ・フォレンジック

内部統制を考える上で重要なのは、外部へのセキュリティをいかに強化しても内部に情報に携わっている人間がいる以上、「情報漏えいを100%阻止するのは現実には難しい」という認識です。不正は人間の心が行なうものだからです。

たとえば、架空取引による売り上げの水増しは、本来は財務諸表のチェックですぐに発覚するはずです。ところが、いくら内部統制上のフローをしっかり組んでいても、社内の各チェックポイントの権限者がみんなで共謀していた場合、内部統制は無視され、不正が可能になってしまうのです。これが内部統制の限界です。

アメリカのサーベンスオクスリー法（SOX法）では、不正に関する申し立てなどがあった場合には調査し、証拠を保全し、また、CEO、CFOは内部不正に関する情報開示をしなければいけないと義務付けられています。これはまさに、証拠保全、解析、報告というフォレンジックスの三段階と合致します。SOX法では、これらの義務に違反するとペナルティが課せられます。

しかし、いかに法律で義務化して罰則を決めても、そもそも不正が発覚しなかったら意味がありません。そこで、不正を見つけるファンクションとして不正調査が登場します。その中で出てきたのが公認不正検査士です。これは不正を見つけるプロフェッショナルで、現在、米国には約18,000人の公認不正検査士がいます。日本では私も含め、150～200名いるといわれています。

意図的、組織的な隠蔽に対しては、内部通報システムか内部監査・不正調査というファンクションが必要です。内部統制、罰則規定、不正調査が、SOX法の3点セットです。

実効力のある内部統制をめざして

これまでの話をまとめると、企業はリスク・マネジメントの観点から、防止策に加えて、実際に問題が起きた場合に訴訟にまで対応できるインシデント・レスポンス体制を整備することが必要です。

不正調査は伝家の宝刀のようなもので、気安く日常的に行なうものではありません。しかし、やるときには絶対に犯人を捕まえなければならない。そうでなければ、抑止力としての意味がないからです。企業として不正を許さないという態度を持ち、実際に不正を犯した人物は捕まえて法的に訴えるまでの能力があることが重要です。そのためには、社内にインシデント・レスポンス・チームをつくり、ツールを導入して訓練を重ねるか、あるいは外部の専門家に委託するのが現実的な選択肢だと思います。

企業のデータの98％がデジタル化されている現在、不正調査にコンピュータ・フォレンジック技術は必要不可欠です。警察と違い、我々は企業の不正を見つけて、その犯人を捕まえるのが目的ではありません。情報を早くつかんで、それを企業側に適切に使ってもらうのが本当の目的です。さらに我々は、プロフェッショナルとして調査を行ないますから、後で決して証拠隠蔽にならないこともポイントです。こうしたファンクションが企業防衛のために非常に重要だということを、ご理解いただければ幸いです。

不正調査を行なうと社内が悪い雰囲気になるのではないかと考える方がいますが、実際に問題が起きてしまうことの影響のほうがよほど重大です。風評被害などにより企業価値が下がり、それによって業績が低下し、場合によってはリストラとか経営破たんにまで結びついてしまう危険があるのです。

コンピュータ・フォレンジックに関するお問い合せ先

お問い合せ

ゼネラル・ビジネス・サービス株式会社 ソリューション事業部　藤井 E-mail ：

守本 正宏（もりもと まさひろ） 氏 株式会社UBIC 代表取締役社長

2003年 株式会社UBIC を設立。米国のフォレンジックツール企業と独占販売契約を締結。同年フォレンジックツール及び技術レーニング事業を開始。 2005年5月よりフォレンジックラボの運用を開始し、フォレンジックサービス事業を追加した。 また、PO デジタル・フォレンジック研究会の設立に発起人として従事し、わが国におけるデジタル・フォレンジックの啓蒙・普及のために活動している。 公認不正検査士（CFE）、警察政策学会会員。 株式会社UBIC