セキュリティ対策コラム ―ガバナンス時代の新たな波―デジタルフォレンジックを基盤とした新展開<第2回>

前回のコラムでは、注目されているデジタルフォレンジックの意味と重要性が増してきた背景を概観しましたが、今回はデジタルフォレンジックを基盤とした、新たなビジネス展開の可能性について解説します。

【1】情報セキュリティの進化とガバナンス時代

1990年代日本の情報セキュリティは、暗号技術やその後のネットワークセキュリティ技術といった「技術」を中心として進展してきました。2000年代に入ると技術を基盤として、運用・管理に重点をおいた「セキュリティマネジメント」にフォーカスが置かれ、ISMS適合性評価制度も始まりました。さらに今日では、企業の社会的責任(CSR)が問われる中で、内部統制を通じてステークホルダーや社会に対して責任を果たすことが求められるガバナンス時代に入っています。

企業の内部統制による健全な企業経営を求める日本版SOX法(金融商品取引法)や新会社法、情報漏えいに関わる個人情報保護法や不正競争防止法(トレードシークレット)等、企業・組織のガバナンスを進展させてコンプライアンスを確立していくことが益々企業に課せられています。

ガバナンス時代に入った情報セキュリティ

ガバナンス時代に入った情報セキュリティのイメージ

【2】フォレンジックが求められる法規制(コンプライアンスの確立)

急速なデジタル化の進展から、法規制もかつてないほどのスピードで整備が進んでいることを前回のコラムで述べましたが、それらの法制度では、「情報漏えいの防止」や「情報侵害への対応」、「情報の管理」が求められ、さらに係争の際には、「電子情報の開示(e-Discovery)」が必要になってきています。

(1) 情報の管理

「日本版SOX(金融商品取引法)」や「新会社法」、「e-文書法」では、情報管理が求められます。経営者が企業の内部統制を構築し、適正に運用されているかを評価する必要があり、そのためには内部統制(ガバナンス)の管理項目でもあるモニタリングやITの利用を達成するためにログの収集・管理が求められています。

(2) 情報漏えいの防止

「個人情報保護法」では、企業は法律に則したシステムの運用を行う責任があり、個人情報を適切に扱うことが求められています。このため、システムのログやシステム操作のログを残すことで、適切であることを証明すると同時に、漏えいの際には迅速な原因調査に資するものとなります。「不正競争防止法」、「通信の秘密」も情報の漏えいに関わる法律です。

(3) 情報侵害への対応

従来紙文書での保存が義務付けられていたものを電子文書での保存を認めた「e文書法」では、ログの管理についての項目があり、情報システムには、ログの保存機能を設けることや取得したログを安全な場所に保管し、保存方法等に係る運用管理規定を定めることが求められています。「不正アクセス禁止法」、「電磁的記録不正作出禁止法」、「著作権法」も情報侵害の防止に対応した法律です。

【3】フォレンジク基盤を活用する新サービスの展開

「内部統制」、「情報セキュリティマネジメント」等、幅広い分野で、共通的にフォレンジックが活用され、電子化時代のコンプライアンスの確立に向けた社内外のリスクに対する統合的なインシデントレスポンスへのニーズが高まっています。

従来のフォレンジック専門企業では、フォレンジックツールの販売から証跡管理技術やデータ復旧サービス・ツール技術を有する企業との協業によりサービス範囲を拡大しています。米国では、証拠データを専用サーバにおき、インターネットを介して証拠閲覧環境を提供するサービスが標準的に存在していますが、さらに訴訟のみならず、社内調査の証拠閲覧、カルテル訴訟やDue Diligence(企業価値査定、企業監査)の資料閲覧にも活用するサービスを提供し始めています。

このような背景から、情報セキュリティを含めエンタプライズのリスク全体を視野に入れた「インシデントレスポンス」、「監査・調査」、「訴訟対応e-Discovery」の3方向でのビジネス展開が考えられます。「フォレンジック基盤」は、これらのビジネス展開を実現するための共通した技術基盤と位置づけられます。

フォレンジック基盤を活用したサービス展開

フォレンジック基盤を活用したサービス展開のイメージ

企業経営の視点から、企業・組織には「CSR」が求められ、CSRを実現するために「ガバナンス」や「コンプライアンス」の確立が必要になっている。 そのために企業にはあらゆるリスクに対するリスクマネージメントが求められるが、その基盤となるのがフォレンジックになってくると考えられる。

(1) インシデントプロセス

事件・事故が発生した場合の対応をいかに適切且つ迅速に実施するかは重要なことですが、この対応をインシデントレスポンスと呼んでいます。例えば情報漏えいの疑いが発生した場合、または、実際に事故が発生してしまった場合には、どのような対応をとらなければならないか。このような緊急時においては、必要な措置をいかに迅速に行うかで、企業が被る被害や世間の評価は大きく変わってきます。 まず必要なことは、事実関係の把握・確認と、ステークホルダーに公表・説明することでしょう。その上で、リカバリープランの策定と実施、再発防止策の実行等を段階的に進めていきます。 上記インシデントレスポンスの中心になるのが、フォレンジック基盤から入手される事件・事故に係わる正確な情報(漏えいの原因、漏えいの影響等)になります。

(2) 監査・調査

監査は日本版SOX法が求めている内部統制の評価やセキュリティ監査、また合併(M&A)等を実行する際の投資価値判断に必要な企業価値査定(Due Diligence)、何れも企業活動全般にわたる情報の取得・提供が必要になってきます。また、組織内外からの不正行為の調査にも追跡に必要な情報の収集が不可欠です。

(3) 訴訟対応(e-Discovery)

2006年12月に米国連邦民事訴訟手続規則(FRCP)が改正されたことで、『e-Discovery』を要求され デジタルデータの提出に際して適切な処理・対応を怠ったことにより巨額の制裁金を課せられる事例も出てきており、米国でビジネスを展開する日本企業にも影響を及ぼしはじめています。こうした訴訟対応としては、下記の例に示すように証拠能力を有する情報の収集、正にフォレンジックが必要になってきます。

◇刑事訴訟に用いる
  • 警察に協力する為のログ(主に内部犯罪対策)
  • 脱税・商法違反
◇民事訴訟に用いる
  • 被害や攻撃者特定の為のログ(主に内部犯罪対策)
  • 企業間の契約違反

※各規格名、会社名、団体名は、各社の商標または登録商標です。

東京大学 情報セキュリティコミュニティ
副代表 林 誠一郎

このページの最上部へ