企業コンプライアンスを支援するフォレンジックの戦略的効果を見極める
守りのセキュリティ対策から攻めのリスク管理へ企業コンプライアンスの重要性が叫ばれるなか、戦略的なコンプライアンス対策を支援する「デジタル・フォレンジック」に注目が集まっている。これは、PCやネットワークのログ情報を適切に収集・管理することによって、インシデントが発生した場合でも、その原因を迅速かつ的確に把握し、必要に応じて証拠情報を適切に開示できる基盤を提供するものだ。本稿では、NPO団体のデジタル・フォレンジック研究会で理事を務める向井徹氏に、その有効性と導入のポイントについて話を聞いた。なお、同氏が提唱するデジタル・フォレンジックとログ管理の方法論に関する詳細は、LANDeskが主催する「IT統制対策」オンラインセミナーで視聴できる。
今なぜデジタル・フォレンジックなのか
米国では、2002年7月にSOX法(Sarbanes-Oxley Act:米国企業改革法)が制定されて以来、企業情報の開示を促進する法律が整備されてきた。2006年12月には、連邦民事訴訟規則(Federal Rules for Civil Procedures:FRCP)が改正され、企業は訴訟の際に、電子メールやワープロ文書、表計算、Webページなどの「電子証拠開示(e-discovery)」が求められるようになった(関連記事)。
日本においても、個人情報保護法(2005年4月施行)によるプライバシー管理の厳密化や、新会社法(2006年5月施行)による内部統制の強化、さらには2006年6月に成立した日本版SOX法(金融商品取引法)による情報開示義務の強化など、企業にとってコンプライアンスを巡る環境はますます厳しさを増しつつある。
シーア・インサイト・セキュリティの代表取締役 CEOで、デジタル・フォレンジック研究会の理事を務める向井徹氏は、こうした環境変化の中で、「企業のコンプライアンスを支援する情報セキュリティ対策の目的も大きく変化しつつある」と指摘する。
同氏によると、企業の情報セキュリティ対策は、もともとコンピュータ・ウイルスや不正侵入といった外部の脅威からコンピュータ・ネットワークを守ることに主眼が置かれていたが、個人情報保護法や新会社法の施行によって、対策の主眼は企業外部の攻撃から内部統制へとシフトすることになった。さらに、金融商品取引法の適用を間近に控えた今、その目的は、法人の社会的責任を果たすための重要な経営課題へと変化しつつあるという。
企業がこうした時代を生き抜くためには、従来のような守りの情報セキュリティ対策ではなく、問題が発生する兆候を監視し、その発生を未然に防ぐと同時に、問題の原因を的確に把握して、必要に応じて迅速に情報を開示する攻めの対策を講じる必要がある。
その有力な対応策として注目されているのが、PCやネットワークのログ情報を適切に収集・管理して、電子記録の証拠保全を図りながら、その内容を調査・分析して内部統制に生かすデジタル・フォレンジックなのである。
攻めのコンプライアンス対応を
デジタル・フォレンジックの技術分野は、個人情報保護や情報セキュリティ管理、内部統制/IT統制に対応する「ネットワーク・フォレンジック」と、電子証拠開示や犯罪捜査に対応する「コンピュータ・フォレンジック」の2つに大別することができる。コンプライアンスに本格的に取り組もうとする企業はこの両方に対応する必要がある。
日ごろから、PCの利用者にかかわるログだけでなく、サーバやネットワーク機器などのログを収集・監視し、適切な監査を行っておけば、万一インシデントが発生した場合にも、原因を迅速に突き止め、その部分に集中的な対策を講ずることが可能になる。
特に、企業規模が大きい場合は、拠点や事業所も多くなり、使用されているシステムも多種多様で膨大になる。そのため、どこの事業所で、だれが、何の端末機器を使って、どのようなことをしたのかをすぐに把握できなければ、万一の事態に適切な対策を講ずることはできない。
もちろん、デジタル・フォレンジックは、電子証拠開示を迅速かつ的確に行うという点で大きなメリットを期待できる。その重要性について、向井氏はこう説明する。
「米国では、訴訟規則の改正によって、PCの提出を拒否しただけで、証拠を隠蔽していると見なされる判例も出ている。デジタル・フォレンジックが適切に実施されていれば、証拠となる電子情報のみを開示すればよく、証拠情報以外の機密情報が含まれるPCを丸ごと提出しなければならないという事態も避けることができる」
戦略的なコンプライアンスを実現するには、インシデントの「未然防止・抑制」から、「早期発見」、「実体解明(調査の実施)」、「説明責任の履行(情報開示)」、「事態収拾」、「再発防止」までのプロセスに対応する必要がある。デジタル・フォレンジックは、そのすべてのプロセスにがかかわっているのだ。
効果的な導入を実現するために
では、実際にどのようにデジタル・フォレンジックの導入を進めればよいのだろうか。
企業の多くは、これまで、コンピュータ・ウイルスなどによるサイバー攻撃や不正アクセスを防止するための情報セキュリティ対策に積極的に取り組んできた。また、内部統制やIT統制の基盤を強化するために認証システムを導入する企業も増えている。
向井氏はこうした情報セキュリティ基盤と認証基盤の間にデジタル・フォレンジック基盤を追加することを推奨している。
「コンプライアンス対応というと、とかくセキュリティ対策アプリケーションに目がいきがちだが、そうした守りの対策だけでは、万全のコンプライアンス対応は実現できない。認証基盤の上にデジタル・フォレンジック基盤を構築することによって、“内部リスクを可視化する”攻めの対策が不可欠となる」(同氏)
デジタル・フォレンジック基盤には、どのような目的でログを収集・管理するのかを定めたポリシーが必要になる。そのポリシーに基づいて、ログ情報を安全に収集し、改竄されないように保全する機能を実現する。また、必要に応じてログ情報を解析し、わかりやすいリポートを作成できるようにする。さらに、こうしたログ管理が適切に実施されているか、不正の兆候や事実が出ていないかどうかを監査する必要がある。
向井氏は、最後のログ監査がとりわけ重要だとし、これが実現できていなければ、デジタル・フォレンジックは万全ではないと指摘する。また、「収益性と透明性を両立できなければ意味がない」とし、まずはログ管理と監査機能を導入し、段階的に基盤を構築していくアプローチも重要だとアドバイスしている。
なお、向井氏が提唱するデジタル・フォレンジックとログ管理の方法論に関する詳細は、LANDeskが主催する「IT統制対策」オンラインセミナーで視聴することができる。
