第七回デジタル・フォレンジック・コミュニティ2010in tokyo 「生存・成長戦略を支えるデジタル・フォレンジック」 ー事業リスクを低減する技術基盤ー
12月13日(月)10:00~
10:00~ 開会挨拶 辻井重男
ブレーンストーミングをやったが、我々の研究はシーズオリエンテッドだったという反省がある。包丁を磨いたから魚屋さん使ってよ、とはいかない。ユーザと供給側にギャップがある。安全と暗号の必要性は何だろう。分かりやすいのは認証、署名。でも認証ならアクセス制御があれば暗号は要らないのでは、との意見も。公開鍵認証でなくてもIDとパスワードで足るのでは、と。このような意識の違いがあるままブレーンストーミングやっていたのが、後で分かった。
言葉の定義は? プライバシーとは何だ、これも人によって違う。日本は安全と安心とが解離。定義せずに結構使っている。暗号でも90年代のほうが興味をもたれているが今は薄れている。
基調講演 丸山満彦 デロイト トーマツ リスクサービス株式会社
リスク新時代のためのCIOの役割
低成長時代で日本マーケットの縮小。どの会社も成長できr時代から賢い会社が成長できる時代へ。グローバルではリスクマネジメントのためのITツール利用が進むが、日本ではこれから、日本が取り残されている。
これからのリスクマネジメントはリスクインテリジェンス(賢くリスクヲとる)。リスクをとらないリスクもある。ハイリスク・ハイリターンでいくのか、ローリターン・ローリスクでいくのか。予防対策か事故対策か。などで戦略リスクへ取り組む。
リアルタイムでリスク把握するのがトレンド。
従来は言われたからやry。リスクインテリジェンスなIT部門は役割が変化。ITツールをうまく活用してリアルタイムで俯瞰、指標化し、適切な判断ができるようにする。
省庁講演1 「プロファイリングによる心理学的アプローチとフォレンジック」 警察庁科学警察研究所捜査支援研究室長 渡邊知美
科学警察研究所 犯罪行動科学部 行動科学の視点から、捜査支援の研究、人質事件研究、プロファイリング研究。
捜査心理学と捜査の循環(情報、推論、アクション)
犯罪者プロファイリングの定義 犯罪捜査に役立つ情報を推定すること。分析目的(犯人像推定、事件リンク分析、地理的プロファイリング)、分析手法(類似事件の統計分析、行動科学的事例分析)
情報セキュリティにおける人的脅威対策に関する調査研究(ダウンロードできる)、社会安全研究財団、内部犯行の対策。
道具的な犯行 目的にあった手段として悪用 システム秋用と情報流出1 モラルの低さ
表出的な犯行 犯行自体が目的 システム破壊と情報流出2
犯罪者をどう考えるか。多くの合法的活動のなかで一部非合法活動を行う、我々と違うものではない。性善説と性悪説とでは? 性善説 犯罪原因論 、性悪説 犯罪抑止論。犯罪原因論から、犯罪原因としての資質と環境との関係 両方がある。環境リスクを下げていこう。犯罪の抑止統制理論 社会的絆が形成されない時、内部統制が弱まったときに非行を行う。 結局は対策としては、どちらの立場でも共通してくる。
犯罪の意志決定 リスクと報酬のバランスを見ながら、犯行を行う。主観的には合理的な判断をする。
質問への回答など。(:犯人は主観的には合理的判断をしている。それが短絡的であったり、自分に都合よい解釈であったとしても。それを防ぐにはかなり日常的な働きかけとかが要るのか。)
クラウド・コンピューティングの法的課題とデジタル・フォレンジック 司会 小向太郎 パネリスト 寺元振透、北野晴人、白井喜勝、町村泰貴
・国境はどうなるかな、令状はどうなのかな。
・契約でかなり立ち入った内容を入れておかないとね。
・ベンダー倒産時のデータ消去は? 倒産法で今は普及主義なんだけど、その国も普及主義でないとね。
・結構契約で、かなり国内に置かせるものもある。
・契約だけでもダメなので、立法がいるのだろうね。
・クラウドベンダーが発信者と見なされる? カラオケ法理に基づくMYUTA事件(不特定多数の解釈がわかりにくいね)
・刑事で国内犯でも、データセンターが国外の場合にはどうか? 司法共助でいくか、押収可か? この前のグーグルからもらった件(先閣列島)? (:会場からの応答はなかった。実際知っていても答えにくいかな)。
招待講演 「デジタル証拠の法的証明力を担保する情報セキュリティ設計」 間形文彦
法的証明力 古くて新しい問題
TSAP各種セキュリティ要素技術を統合するアーキテクチャ設計法を確率するためのプロジェクト
情報セキュリティ設計のねらい リスクとコントロールの最適化
デジタル証拠 証拠として扱われる「電磁的記録」
証拠方法、証拠能力(証拠として採用されるか)、証明力(裁判官を説得できるか) が法的論点
先ず証拠能力、次に証明力が問われる。
事例研究を行っている。いくつかのケースで最適化の演算ができた。
12月14日10:00~
省庁講演2 「企業における適切な営業秘密管理について」 経済産業省知的財産政策室石原徹弥
営業秘密管理指針(改訂版) この4月に出た。
営業秘密と特許権との対比 利点と欠点それぞれある
非公開にして営業秘密として保護するのも選択肢
ダイキンの例 インバーター技術をブラックボックス化したチップで中国企業に使わせ、コストと保護を両立
営業秘密管理チェックシートは是非見てほしい。40点ぐらいで認められるのもある。40~60点を目指して下さい。
国内事例報告1 「クレジットカード情報漏洩事件におけるデジタル・フォレンジックとPCI DSS」 瀬田陽介
事件があれば認定セキュリティ評価機関の監査を受けないといけなくなる。
国内事例報告2 「パナソニックの情報セキュリティとデジタル・フォレンジック」 パナソニック 情報セキュリティ本部長 金子啓子
安全な情報共有のためにも情報セキュリティ
グローバル共通ルール、性悪説であたる。
機密区分に応じた情報の取り扱い
1事業所ではなく、グローバルな事業グループが丸ごとも
個人所有PCも含めた調査準備マニュアルの必要性
事後のフォレンジック調査にも限界
フォレンジック技術の悪用への懸念もある
「技術」研究会 「証拠保全ガイドラインの適用状況と今後の整備推進指針及びISO同行等」
司会 上原哲太郎 講師 名和利男 松本隆 野本靖之
上原 ガイドラインとは何か、なぜ必要か? デジタル・フォレンジックは電磁的記録が鍵となる。基本的なプロセスは現状保全とハードディスクの複製、内容解析。外国でのガイドライン IETF RFC3277など。今回のガイドライン ファーストレスポンダが対象、相場感覚を情勢するベストプラクティス。23ページになる。今回は第一版、まずは出して意見をいただきたかった、比較的早くに改善していきたい。
名和 「証拠保全ガイドラインの運用状況と今後の整備推進」
・ガイドラインの現場での適用から得られた知見。
法執行機関を含めてアンケートをとった。
・今後の整備
使いかっての改善、より厳格な手続き、証拠物の特性を考慮、情報の可視化、理解しやすい用語
・ISO動向など
ISO/IEC27037 、JTC1 SC27 WG4など、(金融関係に徳化した標準はTC68 SC2など)、後半段階に入っている。27002と27037との関連、27037は27002の証拠保全の内容を定めるもの。目的の違いがいくつかあり、デジタルエビデンスは司法手続きを目的としたものではなく、もっと広い。ガイドラインも標準というより、最低線を示すもの、日本のと違うので要注意。
松本 企業活用ポイントなど
できるところから対応しよう。評価して改善しよう。手順をきちんとして効率的に進められるように。そのまま、十週・取得し、保全、これが基本。原本を書き換えない作業、正確な作業記録の作成、適切な証拠の管理。
証拠保管の一貫性(Chain Of Custody)
野本 警察におけるデジタル・フォレンジック
警察での対応の歴史
警察での対応の特徴 現場対応、予測不可能、司法手続対応
ITの普遍化 誰でも、どこでも、しかもたくさん
インシデントレスポンス(IR) ガイドラインの役割
基本的な知識の広がり ・なにはなくともデータ保全
一次対応の標準化 ガイドラインが役立てば 状況把握が最低限行われ、重要な証拠は保存済み、など期待される。
警察からお願いしたいのは できることできないことをはっきりできないものか 昔とちがいレイヤーごとに業者が違ったり専門分化 レイヤーの壁が厚いしカプセル化
討議
・難しいという意見について
松本 普段と違うスキルになるので難しい。考え方を変える必要あり。
名和 物でなく情報を保存する、というのが概念的に難しい。
・サーバーの捜査? その時に警察として期待するのはフリーズ?企業は早く復旧させたいのだが。
野本 非常に難しい。ケースバイケースで、できるだけ多くとしか言えない。
・レベル分け?
名和 入門編 他の人にさわらせないとか 現場保存、中 アプリ層で適切なコピー、高 物理層で適切なコピー
SI スキルと違うのもあるのでは? オペレータ、パソコンユーザーとかでやるべきことが違うとはならないか?
上原 ガイドラインの想定は、警察が入るインシデントで、保守者が対応するもの。
名和 サイバー空間の火消し。インシデントレスポンスが徐々に範囲を広げてきたが、気がつくとデジタル・フォレンジックがそこにあった。別に犯罪予防とかは想定していません。
・分かりやすさ
名和 27035がある。27037とも関連する。誰が何をしてどこに出すのか、が図になっている。これは参考になる。
野本 具体例を材料に初心者に教えるのが分かりやすい。フローチャートでもよい、その中に「人に聞く」とかあってもいい。
松本 個別のマシンごとのマニュアルも役立つ。
意見 ガイドラインの補足か、入門かがあってもいい。
・捜査機関との連携で不足なのは?
名和 どうやって保存したとか、連携で不足していると思う、たとえば証拠で所有権放棄などは初めて聞いた。
野本 一連のドキュメントCoC、これで最後は証言で反対尋問を経て証拠能力をもてる。
会場 作業記録の書式がほしい。私物パソコンの調査で、後から訴えませんとかが入った書式があれば助かる。
松本 プライバシーの担保は結構大変で、書式をきちんとする必要がある。
佐々木 サーバーのイベントログなどどこまでとか。
上原 Linuxではディストリビューションで場所も違ったり大変だと思う。止められないものでどうするか。
名和 別のところで政府の調達の問題で検討しているが、運用作業も大変になるし、結構妥協の産物でログの保存がどこまで、となる。
松本 最近はストレージ安くなった。どこまでとるか。ほしいログが出るのか。
野本 全部が理想的。どんな中身のログを警察が求めて、何のログかわかることが重要。ログの設定ドキュメントと一緒のほうがいい。
名和 松本 是非呼んで使って感想を。
野本 こういうことはしないように、の参考にも使ってほしい。
全体的な感想
世の中へかなりデジタル・フォレンジックが浸透したからかもしれないが、一皮むけたような感慨を持つのは自分だけだろうか? 余裕というか、周辺を見渡すような感がある。しかし一方ではガイドラインの整備など基本的な作業も継続して行われ、地に足を着けた活動もなされている。でもその中で法的位置づけの不十分な点を指摘されている。特にクラウドなど、国境の問題。新しい国際的枠組みがもしかして必要なのかもしれない。たとえば、インターネットを利用して起こる犯罪に対応するためのインターネット国際条約のようなものを期待できればいいね。