デジタル・フォレンジック・コミュニティ2004
こんにちは、丸山です。20日、21日とデジタル・フォレンジック研究会主催の「デジタル・フォレンジック・コミュニティ2004」が開催され、大盛況のうち終了しました。
このコミュニティについてInternet Watchに記事がでています。
実は、仕事の関係で、20日は夜のセッション、21日は自分が講演するところだけしか参加できず、大変残念でした。
Internet Watchの記事を見ていると、秋山先生の話や、高橋弁護士&カセイさんの話も大変面白そうな内容ですね。
デジタル・フォレンジックは、情報セキュリティ技術、法律、社内の管理体制という3つのポイントがあると思います。法律、裁判の証拠として求められることの理解、情報セキュリティ技術の利用、そしてそれらをうまく活かすための社内の管理体制の整備、奥が深いテーマだと思いました。この3つの分野の専門家がうまく協業しながら進めていかなくてはいけないようですね。
来年も楽しみです。
しかし、私の担当のセッション(コンプライアンスとフォレンジック)でport139の伊原さんより、
「動いている環境下で証拠をとるためのよい方法はないですか?」
というような主旨の質問をされて、うまく答えられませんでした。電源を切っている状態のノートパソコンのハードディスクのイメージコピーはできるのですが、動いている環境下でフォレンジックをしようとすると、とたんに難しくなりますね。ノンストップサービスのハードディスク、RAIDをしていたり、グリッドコンピューティングをしていたりすると、本当に難しいですね。
伊原さん、的確な回答ができずにすみません。鋭い質問でした。
===============
このブログの中の意見は私見であり、所属する団体の意見ではありません。
===============
Comments
フォレンジックの会合には参加予定だったのですが、昨日は「警察署で児童買春の自首に付き添う」という仕事を頼まれて、行けませんでした。
Posted by: 奥村(大阪弁護士会) | 2004.12.22 08:14
奥村先生がお見えになっていなかったので、非常に残念でした。私もこの分野、あまり詳しくないのですが、ツメなければならない論点がたくさんあるように思います。奥村さんの活躍に期待!です。写真の分野・・・・・。
Posted by: 丸山満彦 | 2004.12.22 13:34
自首される人は、明日になると警察が先んじて逮捕されるかもしれないので、弁護士にとっては「急患」みたいなものです。
弁護士の動きが遅くて逮捕されてしまうと、一生怨まれるだろうし。
デジタル画像の証拠能力の問題は、いいケースがあれば、裁判所と一緒に考えたいと思っています。
(児童ポルノ)データの没収については、最高裁に考えてもらっています。
Posted by: 奥村 徹(大阪弁護士会) | 2004.12.22 15:09
奥村先生。なるほどです。その通りです。裁判を通じて裁判所と一緒に考えるというのが、一番よいアプローチかもしれませんね。判例がでれば、そこでまた新しい議論が起こりますね。その前に、裁判所の判断の一つとなるための、「デジタル証拠の証拠能力の評価上の論点」などの論文を書くというのもよいかもしれませんね。誰が・・・
Posted by: 丸山満彦 | 2004.12.22 17:44
>裁判を通じて裁判所と一緒に考える
分科会1での話題かな。
>誰が
いいだしっぺに決まっています
Posted by: けったいな人 | 2004.12.22 19:13
あらっ・・・しまった・・・法律の論文なんて無理ですよ。けったいな人さん。まだまだ修行中でございます。
Posted by: 丸山満彦 | 2004.12.22 22:31
丸山さん
こんにちは♪
お疲れ様でした。
さて、答えられなかった質問についてですが、法律家の観点からすると、質問それ自体が無意味だったかもしれません。
というのは、「証明」とは過去に発生した「ある事実」の存在を推測する行為であり、「証拠」とは、その推測の根拠となる別の事実のことを意味します。つまり、ある攻撃が現実に実行されていると仮定して、その攻撃それ自体を証拠化できるのであればそれでも構わないのですが、その攻撃それ自体を証拠化できなくても、攻撃の結果として必然的に発生し証拠化可能な別の要素を証拠化しておけば、その証拠化した別の事実が発生する少し前の時点で必須の前提となる「攻撃」が存在したという事実を証明することができます。
ですから、網羅的に何でもかんでも証拠化するというコストを無視した考え方を採用するのではなく、「最良証拠の原則」を考慮に入れながら、特定の推論を可能にするいくつかの要点を抑えることができるように証拠化の規則と技術を考えるのがよいと思います。
このことは、普通の交通事故を考えてみると分かりやすいですよね。事故それ自体を証拠化することは不可能ではないです。たとえば、たまたま交差点のモニタビデオに衝突の瞬間が撮影されていれば、それは直接の証拠になります。でも、すべての道路にくまなくモニタを配置するなんてナンセンスです。交通事故の存在という事実は、破損した自動車の存在や負傷した被害者の存在などといった別の事実から推測可能ですから、モニタがなくても証明可能なんですよ。
Posted by: 夏井高人 | 2004.12.23 08:37
夏井先生コメントありがとうございます。
実は分科会の会場では私も同じようなことを言いました。「一つの証拠だけで何かを立証するということは現実的にはないのではないか」というような主旨です。会計監査も証明業務ですが、財務諸表に集計されているXX商事から246万円の売上げが本当に実在したかということは、発注書、契約書、納品書、検収書、納品された物、現金の回収など複数の証拠を収集し、それらが偽造されていない(偽造されないような仕組みがある)、証拠間の整合性が取れているなどを総合して立証していくことになります。
ただ、ユビキタス時代になり、「何かを立証しようとする時の証拠がすべてデジタルデータであった場合にどうなるのか」という不安があるのだと思います。そこで、こういうコンピュータ・フォレンジック、デジタル・フォレンジックということが話題になるのだと思います。しかし、デジタルデータが原本性証明、非改ざん証明、ある時期における存在証明が難しいのであれば、別の手段もあわせて使うことが当然であって、何がなんでもデジタル化、いや紙だ・・・という二元論に陥ることなく、常識で判断して組み合わせるだけなのだろうと思います。そういう意味では、ユビキタス時代になれば、何を紙の証拠として保存しておくべきかが重要になってくるのかもしれません。
自分が正しいと立証する場合にどのような証拠が最良なのか?という観点で記録を意識的に残していくことが重要ですね。という当たり前の結論だと思います。
Posted by: 丸山満彦 | 2004.12.23 11:55
丸山 様
こんにちは。
ご指摘のとおりだと思います。
ぜんぶデジタルの単色の世界だと改ざんや破壊の方法も単色になってしまいますよね。
ネットはシームレスであっては駄目で,あちこちに関所を造り,通りにくいものにすべきだし,プロトコルも種々雑多なものにすべきだし,通信手段も無線,有線その他いろんなものが混じっているのが理想だと思います(複雑系的発想かな・・・?)。
同様に,証拠もデジタルのものだけに限定してしまうのは非常におろかな発想ですね。通信手段を介して行う攻撃によっては絶対に改ざん不可能な手段(紙など)を併用するのが理想だと思います。
人間が手書きで作成する日報やメモなども(伝聞法則の適用上若干の問題はありますが)場合によってはかなり有力な証明手段になると思います。
このことから,たとえば,ハッシュでforensicsの要求を満たそうとする場合にも,電子的なハッシュリストファイルの暗号化や電子署名の付与だけを考えるのではなく,紙に印刷されたハッシュリストの生成など非常に安価で安全な手段を併用することも大事なことだと思います。
そして,これらいずれの場合においても,最も重要なことは,そうした証拠の断片がなぜ証拠として証明力を持つのかという証明のプロセスを十分に理解すること,そのプロセスを合理的に機能させるような要素を十分に検討した上で証拠生成規則を予め定めておくことだと思います。
これが,computer forensicsの最も本質的な部分であり,上記のような証拠生成規則を具体的なシステムに適用する場合の詳細設計,実装,運用などに関連する技術的事項を決定する際にセキュリティや技術者の専門知識がフルに活用されるだけだと思います。つまり,要求仕様は技術のほうから出てくるのではなく,証拠規則のほうから提出されるのであり,その要求仕様を満たすように証拠化の技法を設計,実装,運用することが技術者の仕事だと思うのです。
computer forensicsは,それ自体が自己目的なのではなく,あくまでも証明のための最善の手段をどのように設計・運用・構築するかという手段的な世界に属しているものです。したがって,事柄の性質に応じて最も合理的な方法のコンビネーションを考えるのが良いと思いますし,また,それを考え出せる人の意見を尊重すべきだとも思います。
というわけで,computer forensicsを技術者だけで実現しようとすると,(要求仕様を本当はぜんぜん知らないという意味で)何をどうしたらよいのか知らない人々が技術をあれこれ考え出すだけになるので,あまり効果的ではないし,少しもcomputer forensicsにならない。
だから,computer forensicsの世界は,法律家と技術者との共同作業が必須な世界だと思います。
Posted by: 夏井高人 | 2004.12.23 16:40
丸山 様
追加のコメントです。
「動いている環境」での証拠の収集は,それなりによく考えてみれば解を見つけることができるだろうと思います。
ただ,現実の現場の感覚の問題としては,攻撃の阻止や攻撃者の追跡のほうに精力を費やさざるを得ない場合もあるわけで,そういう場面でもシステムの管理者に対して法律や証拠化のことを時間をかけて考えろと要求することは無理ですよね。
したがって,場合によるのですが,証拠化のためにエネルギーをぜんぜん割かなくてもよい手法というものを考える必要のあるイベントもあるはずだと思っています。
このような場合,監査証跡と同じように,直接のイベントそれ自体を証拠化することに精力を費やすのではなく,どこにどのように何によって証跡を残させるかを予めよく考えておくことのほうが重要なのではないかと思います。
もちろん,この場合においても,証明のプロセスというものを十分に理解している必要がありますが,そのことを当然の前提とした上で,予めよく考え準備しておくことが大事なのではないかと思うのです。
このようにして,情報セキュリティのそれぞれの場面で何を置いてもまずやらなければならないこと(防御,追跡,反撃,通報など)を優先的に実行しつつもなお,それと同時に必要な事実や証跡を証拠として収集・保存し続けることができる環境,体制あるいはシステムといったものを構築することが可能になるのではないかと思います。
いつか別のリアルなところで,もう少し深く意見交換したいですね。
Posted by: 夏井高人 | 2004.12.23 17:02
夏井先生。コメントありがとうございます。
そうなんです。ログは①漠然ととっておくログ(万が一の時にきっと何かに役に立つだろう)というものと、②明らかになっている脅威(権限のある者による顧客データベースからのデータコピーなど)などの目的が明確になっている場合のログを区別する必要があります。明確になっている脅威については行為が存在したことを検知し、記録し、保存し、証拠化(それが犯罪とつながっていた場合)するプロセスを定め、実施する必要があります。
今までは漠然(というか、デフォルトの設定のまま)ログをとっていました。なので、情報漏えいをした・・・となると、ログをひっくり返し、何か証拠はないのか・・・と探し回ることになります。
多くの場合、アクセスログ等は有限(サイズが機能的又は費用的に制限される)の記録なので必要な部分が残っていないことがほとんどです。漏えいの原因も解らないし、漏えいした時期も解りません。自分のところから漏れたのか、委託先から漏れたのかも解りません。
明らかな脅威については、その脅威が現実のものとなったときに必要となる対処のために残しておく情報を明確にしてログを取り、検査をするべきですね。
フォレンジックというのは、そういう体制ができてから初めて意味があるのかもしれません。でなければ、たんにパソコンの中身をかき回わす探偵ごっこに過ぎないのかもしれません。
ということで、いずれにしても、リアルなところで一度議論を詰めてみたいですね。
Posted by: 丸山満彦 | 2004.12.24 19:14
丸山 様
夏井です。
「フォレンジックというのは、そういう体制ができてから初めて意味があるのかもしれません」というご指摘は,そのとおりです。
より正確にいうならば,インシデント対応チームを構成し,セキュリティポリシーを策定する際にご指摘のような体制を構築しなければならないということになりますね。もちろん組織の問題なので,組織のトップの意思決定や予算化という問題もありますが,それを実行しなければいけないということになるのだろうと思います。
要求仕様としての証拠化の要請の意味がきちんと理解されているならば,このことはむしろ自明に近いくらい明らかなことではないかと思われます。しかし,これまでの情報セキュリティの実務が技術者主導であり,法律家や警察などから要求仕様を出されることを非常に嫌うという傾向にあったため,日本の情報セキュリティの考え方は米国のそれと比較して約3年分くらいの遅れをとってしまっているのではないかと考えています。
なお,英語でforensicsfriendlyという用語があります。これは,「法科学(forensics)に適合する」という意味なのですが,要するに,証拠化という観点からも妥当であり適切だという意味です。日本でも,ごく当たり前のこととして,forensicsfriendlyな運用のできる情報セキュリティポリシーが策定されるようになることを望みます。そのためには,(繰り返しになりますが)証明のプロセスに対する理解が必須であり,そして,法律家と技術者との共同作業というものが必要になります。
となると,「セキュリティ」を講ずる科目が主として大学工学部にしか設置されていないこと,そして,「刑事訴訟法」や「サイバー法」を講ずる科目が主として大学法学部にしか設置されていないことそれ自体が非常におかしなことだということに気づいていただけると思います。
現在の大学設置基準等は完全に時代遅れのものであり,まったく役にたちません。
Posted by: 夏井高人 | 2004.12.24 21:04