[Analysis]

内部統制とデジタル・フォレンジックス

2007/04/09

forensics.jpg

 日本版SOX法の関連では、正しい手続きに則って業務が遂行されていることを担保する手段として、情報アクセスなどに関するログを残すことや、ログが改ざんされないように対策を講じることが唱えられている。つまるところ、正しいことをやっている証拠を残せということだ。

 この動きの延長線上に、ある意味では究極のソリューションとして「デジタル・フォレンジックス」という分野がある。

 「フォレンジックス」は犯罪捜査や法廷証拠に関する言葉だが、これをITの世界に当てはめたのが「コンピュータ・フォレンジックス」や「デジタル・フォレンジックス」という言葉だ。これに焦点を当てた企業向けの製品やサービスは国内でも数年前から売り出されている。多くの国内企業にとっては決して身近な存在ではないが、今後注目されるようになっていく可能性はある。

 デジタル・フォレンジックス関連のサービスはすでにビジネスとして成立している。例えば従業員による情報窃盗や不正行為が疑われる際に、企業が事実を把握し、証拠を確保する目的で、該当する従業員のPC上のデータなどの分析を外部の専門コンサルタントに依頼することが行われている。当然ながら、専門業者に依頼して情報を収集するのは何らかの事件が発生したか、発生していると気付いた後になる。

 ユーザー企業による導入を目的とした製品は、事前の情報収集を可能にすることで、より確実な証拠の確保や、従業員による不正行為の抑止を狙う。

 この種の製品には、社内LAN上に機器を接続し、この機器を通過するパケットをすべて取得して記録に残すものと、デスクトップPCやサーバ上のデータを一定の条件の下で日常的に吸い上げるものの2通りがある。侵入検知/防御システムでネットワーク型とホスト型の2種類があるのに似ている。いずれにしてもこうした製品は、取得したデータを効率的に解析する機能を持っている。

 デジタル・フォレンジックス製品が米国などで伸びてきた背景には、元従業員や他社との間の、機密情報漏えいや特許侵害などに関する民事訴訟の頻発と、「ディスカバリー制度」の存在があるという。ディスカバリー制度では、当事者の双方が相手に対し、裁判所の介入なしに、争点に関連するすべての情報を開示しなければならないという義務を負う。期限までに開示ができない場合、圧倒的に不利となり、大きな和解金を支払わなければならなくなった例が指摘されている。

 従って、訴えられる可能性があるかぎり、不利な和解を強いられることによるコストや事後に情報を迅速に収集するという作業にかかるコストを考慮して、事前に情報が収集できるデジタル・フォレンジックス製品を導入する企業が存在するというわけだ。

 米国における訴訟制度の話は国内ではピンときにくい。しかし企業間訴訟については、国際的に活躍する日本の製造企業は無視できないだろう。一方、従業員の流動性の高まりや業務委託の管理は、より多くの企業にとっても課題であるはずだ。

 特定のデジタル・フォレンジックス製品の導入はともかくとして、自己を統制するための情報管理だけでなく、企業としての資産やビジネスを守るための情報管理という視点を、完全に無視するというわけにはいかなそうだ。

(@IT 三木泉)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)