企業内フォレンジック調査室 製品発表会 AOS Forensics ルーム

2019年8月6日(火)、リーガルテック株式会社は、企業内フォレンジック調査室 製品発表会 AOS Forensics ルーム 〜 RegTeh コンプライアンス・第三者委員会〜企業が自力で不正調査を行うためのソリューション〜 を開催しました。

第一部は 「企業内フォレンジック調査室 AOS Forensics ルーム」 につきまして、本発表会主催のリーガルテック株式会社代表の 佐々木 隆仁 (ささき・たかまさ)より、ご挨拶と、ご説明から始まりました。

企業内フォレンジック調査室 AOS Forensics ルームとは

企業向けデジタルフォレンジックは、企業情報システムの安全性と漏えい防止を保証するだけでなく、社内に適用すれば数億円を節約する戦略的なセキュリティ対策です。一般に、組織のセキュリティ戦略は、システムを導入してセキュリティを保護するという認識ですが、日本では、ほとんどの企業が社内でフォレンジックの専門家を養成していません。一方、「米国では38%の企業がセキュリティ戦略の一形態としてフォレンジックツールと手法を利用しています。企業内のデジタルフォレンジック チームは、組織が使用するすべてのデジタルデバイスを調査できるようにするだけでなく、従業員が組織のポリシーに従っているかどうかを法的に監査する必要もあります。サイバー犯罪に対する脅威は、外部の力によるものであれ、内部の力によるものであれ、攻撃前と攻撃後の両方の状況に対処できるような対策を講じることによって軽減できます。

企業が自力で不正調査を行うソリューション

AOS Forensics ルームとは、コンプライアンス・第三者委員会に対応するために、企業内において、不正調査を行うことを目的として、社内のフォレンジック調査部門が専用ツールを使って、不正調査を行うことができる専用ルームです。リーガルテック社は、長年、企業の不正調査で培ってきた技術、ノウハウを持って、企業が自力で不正調査を行えるように、AOS Forensics ルームの設立のためのコンサルティングからフォレンジックツールの選定、使い方のトレーニングまで、高度なフォレンジック調査サービスを通じて、インハウス・フォレンジックルームの設置をご支援いたします。

インハウス・フォレンジックの6つのメリット

ガバナンスとコンプライアンス

個人データや機密データを企業全体で予防のために識別、分類、監査できるようなツールを用いて、データ監査を通じて、情報のガバナンスを実装して、ビジネスインテリジェンスを向上させ、コンプライアンスを確保し、様々な種類のリスクを軽減することができます。

情報セキュリティ

情報セキュリティを守るために情報漏えい調査、改ざん調査などを行うツールを揃えています。

訴訟対策

訴訟が起こされる前の段階で、訴訟リスクを分析するためにも内部でデジタル証拠を検出できる能力を高めることが有効な訴訟対策となります。

デジタル証拠調査

リーガルデック社は、デジタル証拠調査に20年関わった実績を持っており、自社で調査に関連する全てのデジタルデータを収集し、深いレベルで分析し、信頼できるレポートを作成できるようにサポートいたします。

内部調査

「AOS Forensics ルーム」を社内に構築しておけば、迅速な内部調査を実施することができるようになります。

モバイル調査

「AOS Forensics ルーム」では、モバイル端末の証拠調査ツールの提供と、トレーニングを実施し、社内の不正調査に迅速に対応できる体制を社内に構築できるように支援いたします。

フォレンジック調査の概要

続いて、プログラム② は、「フォレンジック調査の概要」 につきまして、リーガルテック株式会社 リーガルサービスカンパニー、カンパニー長の森田善明(もりた・よしあき)より説明がありました。

インシデント認知後の対応

初動調査においての「被害範囲の確認」、原因調査においての「侵害原因調査」、「被害の詳細確認」などが基本的なインシデント発生後の調査項目として挙げられますが、ベンダーへ依頼する場合、自社で調査をするよりも時間とコストがかかることが多いでしょう。

フォレンジック調査の流れ

① 初期調査 ② データ収集(保全)、③ データ処理・解析 ④ レビュー ⑤ 報告 こちらがフォレンジック調査の流れとなります。

①初期調査

フォレンジック調査における初期調査ではインシデントの被害状況の概要を把握し、調査対象を特定することから始まります。素早い状況把握に努め、原因特定までの道筋を立てることが重要です。

  1. インシデントの日時
  2. インシデントに関わった人物
  3. インシデントに関わったデバイス
  4. インシデントに関係するデータの種類

これらのデジタルデータを調査をするときに、フォレンジックツールを使用し、証拠を汚さないよう注意が必要です。

例えば、怪しいファイルが無いか確認するためにファイルを開いたり、削除されたファイルを復元するために対象のPC上で復元ソフトを実行したり、といった対応は絶対にしてはいけません。触れば触るほど証拠に辿り着ける可能性が下がっていきます。

②データ収集(保全)

フォレンジックにおいてデータ収集(保全)の作業は非常に重要な工程です。PC内にあるデータは起動しているだけで書き換わり証拠となるデータは失われていきます。保全を如何に素早く遂行できるかで証拠に辿り着ける可能性が大きく変わってきます。また、調査結果の証拠性を保持するためにも非常に重要な作業になります。

AOS Forensics ルームはリーガルテックが経験して培ってきた様々なデバイスの保全技術を伝授いたします。

電子ファイルや文字列等の電子データを、一定の計算式であるHash関数により演算し、数文字から数十文字程度の特定の長さの文字列に変換した値。Hash関数には、「同一のHashを生成する異なる2つのデータを求めることは計算量的に困難である」という性質(衝突発見困難性)がある。したがって、ある2つのデータについて、同一のHash関数を用いて得られたHash値が同一であれば、これらのデータ自体も通常は同一であると判断することができる。

③データ処理・解析

インシデントの内容により解析する項目は異なります。また、解析する項目に適したフォレンジックソフトを使用することで、より精度の高い調査が可能になります。解析者の経験の差が出る工程でもあり、日頃からのトレーニングが重要となります。

【解析項目例(PC)】

  1. メール
  2. ファイル復元
  3. Webアクセス履歴
  4. ファイルアクセス履歴
  5. USBの接続履歴
  6. プログラムのインストール履歴
  7. 電源オン・オフの履歴

フォレンジックソフトを正しく使用できるようになるには、デジタルデバイスに関する深い知識が必要となります。リーガルテックが実際に対応しているフォレンジックサービスに必要な知識をベースに、解析者にトレーニングを行います。

④レビュー

収集・解析したデータから証拠となるものを特定する工程です。データ量が多い場合にはレビューチームを設置し、レビュープラットフォーム上で作業を進める場合もあります。また、証拠と判断するためには法律や会計などの専門知識が必要とされる場合もあります。人件費が最もかかる工程でもあるため、効率的に進めることが重要になります。

レビュー対象のデータを絞り込むために、キーワードやタイムスタンプ、メールの送信元情報、ファイルの作成者等様々な検索アプローチを試みます。

リーガルテックでは第三者委員会やeDiscoveryのレビュープロジェクトも対応しており、実際の現場で対応してきたノウハウをベースに、効率的なレビューの進め方を支援いたします。

レビューの進め方と体制の一例です。3つのステージに分けて、段階的に証拠の絞り込みを進めていきます。

  1. 1stステージ・・・社内調査部門
    1. 無関係のデータを排除し、事案に関係があると思われるデータのみに絞り込む。
  2. 2ndステージ・・・社内調査官
    1. 1stレビューで絞り込まれたデータの中から、証拠と考えられるデータを特定する。
  3. 3rdステージ・・・社内弁護士 / 責任者
    1. 証拠とされたデータの最終確認をする。

それぞれの段階で証拠性があると選定されたデータを照合して、最終決定を行います。レビューのノウハウによって訴訟で使われる証拠としての威力が変わってきますので、レビューはとてもスキルが必要な大事な調査工程です。

⑤報告

報告書に記載する内容は、正当に保全されたデータに対し、第三者が同様の方法で解析を行えば同じ結果が得られる(再現性があること)内容となっていることが重要となります。

保全時の記録
  1. いつ、どこで、何を、どうやって(何のツールを使用して)保全したか
  2. 保全時の写真とログ
解析の方法と結果
  1. どうやって(何のツールを使用し、どのような設定で)解析をしたか
  2. 解析の結果(件数等)
レビューの方法と結果
  1. どうやって(何のツールを使用し、どのような観点で)実施したか
  2. 解析の結果(件数、見解等)

デジタルフォレンジックの三要素

① 手続きの正当性

デジタル証拠に関して、定められた手続きにのっとって、証拠品の収受と同様に正確かつ確実な記録を残し、取り扱い者以外の第三者がふれることのないように厳重に保管し、解析を行うために保管庫から取り出す場合や解析を中断・終了するために戻す場合には、出納状況を正確かつ確実に記録するなど、厳重な管理の下で取り扱うことが必要である。

② 解析の正確性

電磁的記録の解析においては、論理的にも技術的にも正しい手法を用いた解析を実施し正しい結果を可視化・可読化し、推測や解釈を加えることなく、ありのままの事実を明らかにすることが重要である。

③ 第三者検証性

デジタルフォレンジックにおいて、解析に従事した者以外の解析者又は第三者が、正当な手続きの下で、かつ正しい手順で解析を行った場合には、同一の解析結果が再現可能であることが求められる。

参考:「デジタルフォレンジック概論:フォレンジックの基礎と活用ガイド」

AOS Forensics ルームの提供内容例

フォレンジックルーム設置支援
  1. ルーム運用規定の策定支援
  2. フォレンジック調査用ハード/ソフトウェアの選定と調達
  3. 作業環境の構築支援
フォレンジックトレーニング
  1. 管理者向け・・・インシデント発生時の対応について
  2. 技術者向け・・・各種フォレンジックツールの使用方法について
  3. レビュー管理者向け・・・レビューの進め方やタグ、ステージについて
コンサルティング

フォレンジックの専門家がコンサルタントとしてフォレンジックルームに関する質問にお答えいたします。

AOS Forensics ルームはForensicsルームの設立のためのコンサルティングからフォレンジックツールの選定、使い方のトレーニングまでトータルでサポート致します。

AOS Forensics ルームのプロセス(初期調査)のデモ

最後に、「AOS Forensics ルーム」における最初の工程、① 初期調査について3分ほどの動画デモを使ってリーガルテック株式会社代表の 佐々木 隆仁 (ささき・たかまさ)より、説明がありました。

会場前方には、AOS Forensics ルームのデモブースが設置されました。

質疑応答のあとはデモブースに参加者が殺到しました。

いつまでも質問が尽きず、Forensics ルームの関心の高さを実感する発表会となりました。
皆様、お暑い中を本発表会にご足労いただき、誠にありがとうございました。