digital forensics2003年:デジタル・フォレンジックを扱う会社ubic設立...
TRANSCRIPT
1
デジタル・フォレンジック
東京電機大学工学部
佐々木良一[email protected]
2006年8月23日中央大学人材育成拠点公開講座
目次
1.デジタル・フォレンジックとは
2.デジタル・フォレンジック体系化の試み
3.企業におけるデジタル・フォレンジックの適用
4.技術課題と研究状況
5.今後の展開
2
1.デジタル・フォレンジックとは
Digital Forensicsとは
Forensicというのは「法の」とか「法廷の」という意味を持つ形容詞(語源はラテン語のforensis )で名詞はForensics
Forensic Medicineという言葉は、「法医学」と訳
される
Digital Forensics:デジタルデータの証拠性確保
の技術と手順
通常、日本語でもデジタル・フォレンジックとかデジタル・フォレンシックとか呼ばれる。
3
データのデジタル化重要性の増大
データのデジタル化重要性の増大
重要になってきた背景
コンピュータやインターネットの普及
デジタルデータの証拠性確保の技術と手順であるデジタル・フォレンジックの必要性の増大
民事訴訟の増大刑事訴訟の増大
訴訟に耐えうる証拠が必要訴訟に耐えうる証拠が必要
権利意識の増大新しい法律の制定や不正の増加
デジタル・フォレンジックの定義
「インジデント・レスポンスや法的紛争・訴訟に対し,電磁的記録の証拠保全及び調査・分析を行うとともに,電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う」
デジタル・フォレンジック研究会
4
本日のストーリ
一口でデジタル・フォレンジックといっても、それぞれがイメージするものは専門家でも異なる。
デジタル・フォレンジックをいろいろな角度から分類し、それらの特徴を整理し、体系化する。
その上で、企業への適用に重点を置いて説明を行う。
2.デジタル・フォレンジック体系化の試み
5
主要な分類軸(その1)
1.デジタル・フォレンジックを利用する主体(1)企業などの一般組織(2)法執行機関
2.訴訟の対象となる行為(1)組織の規定などに違反
(例)規則に違反したメールの配信など
(2)企業間の契約条項などに違反(例)守秘義務契約の違反など
(3)法律に違反(例)刑法、不正アクセス禁止法(不正侵入など)、
個人情報保護法、商法など3.訴訟の種類
(1)民事訴訟(2)刑事訴訟
主要な分類軸(その2)
4.訴訟との関連
(1)訴訟する側(企業など、法執行機関)
(2)訴訟される側(企業など)
5.証拠性に関連する情報処理機器
(1)サーバ
(2)PC
(3)ネットワーク
(4)携帯電話
(5)情報家電ほか
6
デジタル証拠の使われ方
民事訴訟
刑事訴訟法律に違反
刑法不正アクセス禁止法個人情報保護法その他
殺人などコンピュータ犯罪そのものでなくても良い
組織内の規則などに違反(例)規則に違反したメー
ルの配信など
組織間の契約などに違反(例)守秘義務契約の違反
など
<訴訟の対象行為>
個人
企業などの組織
<訴訟される側>
法執行機関
企業など
<訴訟する側><訴訟の種類>
刑事訴訟のための協力
デジタル・フォレンジックの体系と関連用語
デジタル・フォレンジック(DF)(インフォメーション・フォレンジックという場合もある)
訴訟される側のDF
企業などにおけるDF
法執行機関におけるDF
訴訟する側のDF
不正侵入に関するDF(コンピュータ・フォレンジックともいう)
企業における不正侵入以外のDF
7
日本におけるデジタル・フォレンジックの歴史
1996年:電子的記録解析が警察庁情報管理課の管掌になる2000年:警察庁情報通信局に技術対策課誕生2003年:デジタル・フォレンジックを扱う会社UBIC設立2003年:警察政策学会のパネルでフォレンジックコンピューティング
がテーマに2003年:@policeにフォレンジックの解説(佐々木執筆)が掲載2004年:デジタル・フォレンジック研究会発足2005年:内閣官房セキュリティ技術戦略委員会報告書に11の重要
技術の1つとしてデジタル・フォレンジックが取り上げられる2006年:IFIP TC11主催の第2回Digital Forensics Internation
al Conferenceに日本から始めて参加し、石井と佐々木が発表2008年:第4回Digital Forensic International Conferenceを
日本で実施の予定
3.企業におけるデジタル・フォレンジックの適用
8
デジタル・フォレンジックの体系
デジタル・フォレンジック(DF)(インフォメーション・フォレンジックという場合もある)
訴訟される側のDF
企業などにおけるDF
法執行機関におけるDF
訴訟する側のDF
不正侵入に関するDF(コンピュータ・フォレンジックともいう)
企業における不正侵入以外のDF
不正侵入の経路
外部不正者
内部不正者
管理者
会社A会社B <攻撃>
<追跡>
<攻撃>
9
ログの重要性とログの種類
ログの重要性システムのトラブルやユーザの行動などの情報はログファイルに出力され、問題解決の重要な手がかりになる。例えば、対象システムが不正行為を受けた場合、システムや各サービスまたはアプリケーションが出力するログに攻撃の痕跡が出力されうる。
ログの種類
(1)システムで一括管理されているもの
(a) UNIX系OSのsyslog (b) Windowsのイベントログ
(2)ソフトウェア自身が独自のログシステムを持っているもの
(a)Apacheのアクセスログ (b)IISのアクティブログなど
ログフアイルに対する攻撃
ログファイル(syslog、
アクセスログなど)
rootkit
侵入痕跡の改ざん消去バックドア作成
(1)サーバ向け(a)ログデータ
の監視復元(b)侵入経路の
切り分け
内部犯罪の場合のみ(2)クライアント向け
(c)PCデータの証拠保全
(d)解析(e)報告書作成
ツール
10
ネットワーク・フォレンジック
交換機(ルータ)
交換機(ルータ)
交換機(ルータ)交換機
(ルータ)
交換機(ルータ)
伝送路
ネットワーク
LAN不正者
攻撃
リモートでのログ監視、データ復元、侵入経路切わけなど
(1)ネットワークを利用した不正証拠の監視・保全
(2)ネットワーク装置に残された証拠の保全
管理者
攻撃パケットの発信元検知など(IPトレースバック技術など)
企業内
復元されない抹消方法
• 復元されないデータ消去方法の種類
下にいくほど、磁気読み取り装置でもより困難になる
復元ソフトで復元される可能性がある
11
ログフアイルに対する攻撃
ログファイル(syslog、
アクセスログなど)
rootkit
侵入痕跡の改ざん消去バックドア作成
(1)サーバ向け(a)ログデータ
の監視復元(b)侵入経路の
切り分け
内部犯罪の場合のみ(2)クライアント向け
(c)PCデータの証拠保全
(d)解析(e)報告書作成
ツール
デジタル・フォレンジックツールの比較
名称など 備考機能など開発者(販売会社)
Encase(1997年発売)
GuidanceSoftware社
(商品)
PC内のデータの復元メインメモリーのデータの監視など報告書の作成など
AccessData社
(同上)
Ultimate Tool Kit
(2004年発売)
証拠性保全のための総合的ツールキット
(PC内のデータの復元、パスワード解読、報告書の作成など)
ForensicToolKitが中心
12
ハードによる証拠性保全作業
1.<事前>証拠データの汚染を防ぐため専用消去ツールでH
DDデータに上書きを行い証拠取得用のHDDを用意する
2.<データ保全過程>
(1)証拠用HDD(コピー先)へ100%物理コピーを行う。
(2)対象HDD(コピー元)と証拠HDD(コピー先)のデータ同一性を比較するため操作ログ上のハッシュ値を確認する
(3)物理コピーされたデータを解析ソフトウェアに適したイメージファイルへ変換
http://www.ubic.co.jp/Hozen.html解析へ
解析
1.解析用ファイル形式に変換された証拠データを解析用ソ
フトで認識させる
2ビュワーを用いて様々なファイル解析ソフト一つで閲覧
3.必要に応じてパスワードリカバリーを実施したりレジスト
リーエリアを閲覧
4.法廷において最重要視されるレポートを作成
13
企業のDFの特徴
(1)外部に対してはデータ入手のための強制捜査権がない
(2)DF用のツールにお金を法執行機関ほどかけられ
ない
(3)事前にデータを集める仕組みや、復元できるための仕組みを設置できる
<現状>金融機関などで利用
デジタル・フォレンジックの体系と関連用語
デジタル・フォレンジック(DF)(インフォメーション・フォレンジックという場合もある)
訴訟される側のDF
企業などにおけるDF
法執行機関におけるDF
訴訟する側のDF
不正侵入に関するDF(コンピュータ・フォレンジックともいう)
企業における不正侵入以外のDF
14
不正侵入以外の不正に対するDF(1)企業の業務規定などへの従業員の違反の証拠性の確保
機密情報の漏洩や、勤務時間中のポルノサイトなどへのアクセスなど業務規定に違反したことの証拠性の確保など
(2)契約先企業などが契約に違反していることの証拠性の確保契約企業などが、受託によって知りえた情報を、契約に違反して
外部などに漏洩した場合などに、それらが現実に起こり、契約先企業に過失のあることの証拠性の確保が必要
(3)ライバル企業などが法律に違反しており告発や民事訴訟に持ち込むための証拠性の確保
不正侵入の証拠性がログデータを主要な対象にするのに対し、ここでは、それ以外に、メールや各種の業務記録なども大切な対象となる。
必要となるフォレンジック技術
管理者
基本技術(コンピュータ技術・ネットワーク技術)
訴訟
会社A会社B
E-Discovery技術
不正監視技術
処理記録の保管技術
メールフィルタメールアーカイバ
<契約違反>
<法律違反>
<業務規定違反>
訴訟
WEBフィルタリング
金融機関などの大企業で使用
15
利用記録の保存分析ツール
1.クライアントの操作記録ツール
2.パケット記録ツール
3.メール・アーカイブツール
4.データベース・アクセス履歴記録ツール
5.ログ収集・分析ツール
日経コンピュータ2006年5月1日号p46
関連製品の一例
■パケット監視機能インターネット、イントラネット上のパケットを記録。
■解析、表示機能・Web解析
最新リクエスト:取得したWebリクエストのうち新しいものから順に表示。
グラフ表示 :日単位、週単位、月単位でグラフ表示。ランキング表示:サイト、URL、クライアント別のランキング表示が可能
・メール解析復元:メール本文のみならず添付ファイルの復元が可能。
■セキュリティ機能常時ステルス、パスワード認証、MACアドレス認証などにより
所定の管理端末以外からのアクセスを阻止。
フォレンジックサーバ MSIESER (三菱スペースソフトウエア社が開発)
16
デジタル・フォレンジックの体系と関連用語
デジタル・フォレンジック(DF)(インフォメーション・フォレンジックという場合もある)
訴訟される側のDF
企業などにおけるDF
法執行機関におけるDF
訴訟する側のDF
不正侵入に関するDF(コンピュータ・フォレンジックともいう)
企業における不正侵入以外のDF
民事訴訟の増加や企業の説明責任の増大によりこれが大切に!
企業が訴訟を受ける場合
(1)企業が企業を訴訟する場合業務依頼を受けたビジネスの相手から、守秘義務の違反や、不
誠実な業務であったとして契約違反で、訴えられる可能性がある。
(2)国などが企業を訴訟する場合SOX法(米国企業改革法)や商法(証券取引法など)などの違反
で、訴えられる可能性がある。
(3)個人が企業を訴訟する場合企業の不正の告発や、組合活動などのために、会社から不当な
扱いを受けたということで従業員が、企業を訴訟する場合が考えられる。
17
企業コンプライアンスに関する法律等
1992年 COSO内部統制(フレームワーク) 米国
2002年 サーベンス・クスリー法(SOX法) 米国
2003年 改正商法施行(委員会等設置会社の内部統制システム構築が義務化)
2005年 個人情報保護法
2005年 「財務報告に係る内部統制の評価及び監査の基準の
あり方について」を公表:金融庁
2006年 新会社法
2006年 「証券取引法等の一部を改正する法律」が成立
SOX法とフォレンジック【SOX法抜粋~内部不正調査の保持義務】
806条&1107条通報者を保護し、通報を奨励する。
301条不正に関する申し立てや不平があれば調査をする。Forensic Analysis :調査・解析
802条証拠保全の義務(破壊する事に対するペナルティ)Preservation : 証拠保全
302条CFO(財務最高責任者)/ CEO(経営最高責任者)は内部不正に関する情報開示義務 Reporting : 報告
409条適宣報告が要求される 404条効果的な内部統制の義務
http://www.ubic.co.jp/members/sox.html
18
最近の事件1.ライブドア堀江被告の証券取引法違反による逮捕(2006年1月16日)容疑の重要な証拠として10万通にも及ぶ電子メールを活用=>逆に言えば、電子メールなどを長期にわたり適切に保管することにより、自らの正当性を示すことが可能。=>デジタル・フォレンジック(処理の正当性保証)技術が重要に
2.北米豊田社長・北米トヨタ・トヨタ本社へのセクハラ訴訟210億円の損害賠償請求=>米国の裁判が直接日本にも影響
日本にいる役員がハードディスクの提出を求められた例も=>必要十分なデータの開示が必要に=>デジタル・フォレンジック(E-Discovery:電子証拠開示)技
術が重要に
必要となるフォレンジック技術
外部不正者
内部不正者
管理者
基本技術(コンピュータ技術・ネットワーク技術)
訴訟
会社A会社B
E-Discovery技術
処理の正当性保証技術
海外に子会社のある企業を中心に適用
19
訴訟する側のDFとされる側のDFの違い
訴訟する側のDF 訴訟される側のDF
1.訴訟に耐える証拠を1つでもつかめば良い2.相手がデータを消去・破壊するかもしれない
1.すべての証拠が改ざんされず残っていることの証明が必要
2.データを扱う本人の行為の証拠性なので何らかのTrusted Third Partyが必要
利用記録の保存分析ツール
1.クライアントの操作記録ツール
2.パケット記録ツール
3.メール・アーカイブツール
4.データベース・アクセス履歴記録ツール
5.ログ収集・分析ツール
日経コンピュータ2006年5月1日号p46
自己の正当性証明用にも使える。
20
デジタル・フォレンジックと利用者
1.IT/IS部門の管理者2.企業・組織の経営者3.各業務の管理者4.監査役5.警察官6.弁護士7.司法当局8.税務当局
訴訟する側のDF
不正侵入に関するDF
企業における不正侵入以外のDF
法執行機関におけるDF
訴訟される側のDF
<利用者><デジタル・フォレンジックの分類>
企業におけるDF
対象となる主なデータ
システムログデータ
レジストリ情報
入力データ・作成文書
不正侵入不正侵入
セクハラセクハラ
情報漏えい情報漏えい
財務帳票
各種取引記録
基礎データ
一般アプリケーションデータ
応用アプリケーションデータ
<事案>
脱税・商法違反脱税・商法違反
企業間の契約違反企業間の契約違反
21
4.技術課題と研究状況
デジタル・フォレンジック技術の構成
外部不正者
内部不正者
管理者
基本技術(コンピュータ技術・ネットワーク技術)
<訴訟>
会社A会社B
ログデータ復元技術*侵入経路切り分け技術*
パスワード解析技術原本性確保技術
IPトレースバック技術*
電子透かし技術*
E-Discovery技術
不正監視技術*処理の正
当性保証技術
<攻撃>
<追跡>
<調査>
*はネットワークフォレンジックとも呼ばれる
22
研究中のフォレンジック技術
外部不正者
内部不正者
管理者
基本技術(コンピュータ技術・ネットワーク技術)
訴訟
会社A会社B
E-Discovery技術
処理の正当性保証技術
USB Device with Smart Card Function
PC with Key Logger
業務引き受け先
業務依頼元
システムの構成の概略と狙い
データ入力などの受託
不正を行っていないことを証明したい。
23
証拠性の保全に必要な技術
PCなどへのすべての入出力の記録(キーボード経由、メール経由など)
記録に残らない入出力の防止
入出力の改竄の確実な検知
キーロガー・メールロガーなどの設置
強制記録装置(記録しないものは入力できない
仕組みなど)
ヒステリシス署名の利用
<ニーズ> <技術>
処理をすれば必ず記録が残るようにする
改ざんしてないことを証明できる
Ryoichi Sasaki et al. “Proposal and Evaluation of Digital Forensic Logging System Using a USB Device and a Hysteresis Signature”, IFIP WG11.9 Digital Forensic International Conference 2006
キーロガー機能付PC
ヒステリシス署名プログラム
Read
Write最新のヒステリシス署名
秘密鍵
Tamper Resistant AreaAccess Free Area
キーロガーなど
PC ロック機能
ログファイル
提案システムの構成
ICカード機能付USBデバイス
ヒステリシス署名ハッシュ値
署名検証用プログラム
24
通常のデジタル署名ではだめな理由
11
ログデータ
ステージ
2
33
4
データ1 署名署名
データ2 署名
データ3 署名
データ4 署名
このデータを引き抜いたり上書きしても検知できない
何回も多くのデータを対象に署名演算をする
必要があり演算量が問題
対応:それまでのデータも含め(データ1-3)署名の対象にする。
上書き
ヒステリシス署名
署名履歴
初期値データ
文書①のハッシュ値
署名①
①
連鎖用データ
文書②のハッシュ値
署名②
②
連鎖用データ
文書③のハッシュ値
署名③
③
署名生成
秘密鍵
従来の電子署名従来の電子署名
文書②
署名②
連鎖構造
ハッシュ関数
ハッシュ関数
署名生成
秘密鍵
文書③
署名③
3/21
25
ヒステリシス署名
署名履歴
初期値データ
文書①のハッシュ値
署名①
①
連鎖用データ
文書②のハッシュ値
署名②
②
連鎖用データ
文書③のハッシュ値
署名③
③
署名生成
秘密鍵
従来の電子署名従来の電子署名
文書②
署名②
連鎖構造
ハッシュ関数
ハッシュ関数
署名生成
秘密鍵
文書③
署名③
3/21
改ざん検知可能
処理の概要Start
(1) USB device は挿入 ?
YesNo
PCは使用不
能
(2)Data はキーボードから入力?
(4) hysterisis 署名の値を演算しUSB deviceに保存
(5) 署名とログデータをログファイルに保存.
YesNo
(3) Active window が変更?Yes
No
temporally fileに保存
26
USB Device with Smart Card Function
PC with Key Logger 業務引き受け先
業務依頼元
作業終了後の処理
PCとUSBデ
バイスを提出し、正しい処理をしていることを証明
検証方法①最新のヒステリシス署名YIの取り出し②最新のヒステリシス署
名YI’ の取り出し
YI =YI’yes
no
不正の可能性
一致
必要なすべてのデータを検証か
I=I-1
END
no
noyes
I番目のログデータの取り出しとYI’との一致性の検証
27
提案方式プロトシステムの開発
開発環境
OS:Microsoft Windows XP Professional SP1
開発言語:C#(Microsoft Visual Studio .NET2003)
開発ステップ数:約1500ステップ
ハード:PC + USBデバイス(E-Token Pro:アラジン社) ハッシュ関数:SHA-1
公開鍵暗号:RSA 1024ビットかぎ長
USBデバイスを抜いた場合の警告画面
28
Fig.5 Example of logged data
Event 1Event 2Event 3
Event I(Data from Key Board )
機能・性能の評価
<機能の確認>(1) USBディバイスを抜くと操作できないことを確認
(2)ログデータを操作・改ざんすると直ちに検知
<性能>1つのヒステリシス署名のUSBデバイス中での処理時
間=>1秒以下 (2134回の平均)
(ここでの平均データ長: 418 Bytes )
29
Table 1 他システムとの比較
WORM*
USB Device with PC Lock Function +
None MAC# DigitalSignature
HysterisisSignature$
コスト
改ざん検知
スキップなしに入力されていることの証明
第三者によるチェックの容易性
× ○
△ ○ ○ ○ ○
○ ○ ○×
× ○ ○ ○ ○
USBのタイタンパー
エリアの必要メモリー
○ ○○
(小)○
(大)×
* Write Once Read Many Device # Message Authentication Code$ Proposed Method
研究中のフォレンジック技術
外部不正者
内部不正者
管理者
基本技術(コンピュータ技術・ネットワーク技術)
訴訟
会社A会社B
E-Discovery技術
処理の正当性保証技術
30
原告側弁護士被告側弁護士
証拠収集のための事前のやり取り
関連文書
必要な情報は出さなければならないが、企業の機密情報や個人情報は出したくない
必要な情報をできるだけ集めたい
墨塗り部分以外の改ざんがないこと
非開示部や墨塗り部に原告が指定したキーワードが含まれない
提出文書の選択、提出文書の部分非開示(墨塗り)
電子墨塗り技術の導入
<対応策>
鍵回復技術などの導入
<原告側の要求>
E-Discoveryの要求と対応策
5. 今後の展開
31
今後の展開
1.デジタル化の進展と訴訟の増大によりますますデジタル・フォレンジック技術は重要に。
2.特に、企業の内部統制に対する要求の増大により、訴訟に備えるためのデジタル・フォレンジック技術は重要に。
3.企業はポリシーを明確にし、残すべきデータを明確にするとともに、それらを正しく残していることを証明できる技術で対応することが必要に。
さらに知りたい人のために
32
デジタル・フォレンジック参考文献(1)
1) Bill Nelson, Amelia Phillips et al.”Guide to Computer Forensics and Investigations” Thomson,2005
2) John R. Vacca, “ Computer Forensics: Computer Crime Scene Investigation”,Charles River Media, 2002
3) Warren G. Essentials, Jay G. Heiser, “ Computer Forensics: Incident Response Essentials”, Addison-Wesley, 2002
4)Kevin Mandia, Chris Prosise, Matt Pepe, “ Incident Response & Computer Forensics (Second Edition)”, McGraw-Hill,2003
5) Tony Sammes and Brain Jenkinson " Forensic Computing A Practitioner's Guide " Springer 2000
6) 辻井重男「デジタル・フォレンジックとは」Computer & Network LAN 2005年3月号 pp10-11 (この号に特集が組まれています)
7) 渡辺勝弘、井原秀明「不正アクセス調査ガイド」オラリー・ジャパン、20028) 佐々木良一「@police 第3回セキュリティ解説 コンピュータフォレンジックス」
http://www.cyberpolice.go.jp/column/explanation03.html
デジタル・フォレンジック参考文献(2)
9)K.Mandia,C.Prosise「インシデントレスポンス 不正アクセスの発見と対策」
翔泳社、200210)J.Robbins An Explanation of Computer Forensicshttp://www.computerforensics.net/forensics.htm
11) 芦野佑樹、佐々木良一他「USBデバイスを用いたデジタルフォレンジック保全方式の提案と評価」ISEC/CSEC合同研究会 (2005年7月)12)Ryoichi Sasaki et al. “Proposal and Evaluation of Digital Forensic Logging System Using a USB Device and a Hysteresis Signature”, IFIP WG11.9 Digital Forensic International Conference 2006 13)向山宏一、内田勝也「情報法科学(Information Forensics)体系化の考察」日本セキュリティ・マネジメント学会第19回全国大会発表要旨pp139-147
14)守本正宏「リスクマネージメントにおけるデジタル・フォレンジックの活用」日本セキュリティ・マネジメント学会第19回全国大会発表要旨pp149-1471
33
関連する学会・研究会
国内
国際専門組織
専門組織
関連組織
備考
NPO法人「デジタル・フォレンジック
研究会」
2004年より会長:辻井重男
日本セキュリティ・マネジメント学会、情報処理学会CSEC研究会など
項目
IFIP TC11 “Digital ForensicsConference”
2005年より毎年フロリダで開催
IEEE transaction on InformationForensics
雑誌「Digital Investigation」
信号処理の専門家中心
ELSEVIER社
Forensicについて(その1)
OxfordAdvanced Leader’s Dictionaryでは、
fo•ren•sic /frensk; -renzk/ adj. [only before noun] 1 connected with the scientific tests used by the police when trying to solve a crime: forensic evidence / medicine / science / tests the forensic laboratory a forensic pathologist2 connected with or used in a court of law: a forensic psychiatrist (= one who examines people who have been accused of a crime)
付録
34
Forensicについて(その2)
Merrian-Websterでは
1 : belonging to, used in, or suitable to courts of judicature or to public discussion and debate2 : ARGUMENTATIVE, RHETORICAL3 : relating to or dealing with the application of scientific knowledge to legal problems <forensic medicine> <forensicscience> <forensic pathologist> <forensic experts>
Forensicについて(その3)
「法の」あるいは「法廷の」と訳すべき場合と、「犯罪を解決すべきとき」に相当するものと英語でも両方あるようである。
そこで、語源を調べると、Merrian-WebsteによるとEtymology: Latin forensis public, forensic, from forum forumと、ラテン語のforensisから来ているようである。
forensisというラテン語を調べると、public; pertaining to the courts ということで、「法の」あるいは「法廷の」という訳が語
源として近いようである。
ちなみに、HP佐藤氏によると、英語中国語辞書でも、forensic を「法廷的」としている とのことである。
35
最近の動向(1)
(1)米国ではDigital Forensic Research Workshopが2001年
から実施され、理論と実践の両面からいろいろな報告や議論がなされている
(2)Digital Forensic Education Working Groupというデジタル・フォレンジックの教育を行うグループが2年以上にわたり活動し
ている
(3)一方、ヨーロッパではDigital Investigationというデジタル・フォレンジック専門の雑誌がELSEVIER社から創刊された
最近の動向(2)(4)2004年の8月に行われ、佐々木が日本代表として出席したIFIP(International Federation for Information Processing:情報処理国際連合)TC11(第11技術委員会:セキュリティ)の年次総会で、米国のコロラド州立大学のIndrajit Ray博士より、
デジタル・フォレンジックの研究と普及を図る新ワーキンググループの提案があり、討議の結果、WG11.9として承認された。
(5)2005年の5月に日本で行われたTC11の年次総会で、活動状況を報告。WGのメンバーは、ワークショップなどで必ず発表するか、会議で貢献することが前提となる。2004年度はカンファレンスが2005年2月13日から16日にフロリダで実施され、32件の論文が発表されたという。佐々木もメンバーに登録。
(6)IEEEに”Information forensic and Security”というTransaction が発刊の予定。
36
日米の共同研究(その1)
1.JST戦略的国際科学技術協力推進事業「フォレンジック手続ガイドラインの作成のための基礎的研究-日米において証拠の相互利用を可能とするために-」2.期間:2005年1月ー2007年10月
3.日本側研究者(1)佐々木良一(リーダ)(東京電機大学)(2)上原 哲太郎(京大)、舟橋 信(未来工学研究所)、
高橋郁夫(弁護士)、石井徹哉(千葉大)4.米国側研究者(1)David A. Dampier(リーダ)(ミシシッピー州立大学)(2)Dr.Yoginder Dandass、 Kent R. Kerleyほか (いず
れもミシシッピー州立大学)
日米の共同研究(その2)
5.主要な研究テーマ(1)日米法執行機関におけるデジタル証拠の確保の標準的な技術的手順の比較検討(2)デジタル証拠の確保のための次世代技術の研究開発
E-Discovery技術ほか(3)日米共同調査(計画中)
(a)SOX法・公益通報者保護法などに対応した、日米企業
の対応状況の調査(b)日米のオークション出展のPCのデータ消去状況の調査
6.主要なイベント(1)情報交換のための合同会議(現在まで2回)(2)2006年3月:日米ワークショップ(3)2007年10月:日米シンポジュウム
37
(1)デジタル・フォレンジックに直接関与している人として、共同研究者のDr. David A. Dampier、Dr.Yoginder Dandass、Dr.Kent R. Kerleyなどがいるという。Dr. David A. Dampierはもと
もとはソフトウエア工学の専門家で、3年前からデジタル・フォレンジックの研究を開始。(2)ミシシッピー州立大学CCSRは、デジタル・フォレンジックに
関する実験環境を持っている。また、デジタル・フォレンジック関連の研究として次のような紹介を受けた。
(イ)並列処理システムを利用した侵入検知の基礎研究(ロ)データの消去の効果の研究(ハ)犯人の顔のパターン認識による識別研究
(3)米国全体でデジタル・フォレンジックの研究者は、現在50人から70人ぐらいではないかというのが、Dr. David A. Dampierの意見である。
ミシシッピー州立大学の現状