リーガレックス合同会社

コラム

コラム一覧13.デジタル・フォレンジックスの手順について③

13.デジタル・フォレンジックスの手順について③

2020.04.28

前回のDFの検査手順に続いて、分析から報告の手順について解説したいと思います。

分析から報告の手順について、NISTでの定義は前出のコラムに記載してある通りなのですが、更に細かいステップに分けて実務的な解説をした方が分かりやすいと考えられるため、弊社で作成したフロー図を使って解説しますと、「検査・分析」から「報告」までの手順に該当します。

DFサービスフロー 図にあります「検査・分析」から「報告」手順における調査手法は、「タイムライン分析」と「内容分析」に大別され、最終的な調査目的に合わせて使い分ける事になります。例えば、コンピュータ内で何が起きたのかを明らかにする「情報漏洩調査」「マルウェア感染調査」「端末使用者の行動調査」等では「タイムライン分析」が中心となり、膨大なオフィスファイルや電子メールを精査しなければならない「会計不正調査」「経営陣による不正対応調査」等では「内容分析」が中心となります。

「タイムライン分析」は時系列でそれぞれ個別の端末の操作履歴や行動履歴を追って、調査に活かす調査手法です。データの分別を行ったあと、必要に応じてパスワードの解除やレジストリファイルを閲覧します。ここでレジストリファイルとは、マイクロソフトのWindows95以降で、各種の環境設定やドライバの指定、アプリケーションの関連付け等の情報を保存しているバイナリファイルのことです。このファイルを解析することにより、接続されたUSBメモリや最後に閲覧したURL等がわかる場合があります。一つの端末では全体像がつかめない場合には、同一の調査対象者の複数の端末から抽出されるデータを統合して分析したり、粉飾や談合のように複数関係者の行動履歴の調査が必要な場合には、複数の対象者の端末から出てきたデータを統合したりして分析することもあります。

「内容分析」は抽出されたデータのうち、メール等のコミュニケーションデータや文書ファイル等の内容を具体的に調査する手法になります。昨今の調査実務では、「内容分析」の対象となるデータが膨大になるため、複数人でデータのレビュー(閲覧・調査)が行えるよう、なんらかのレビュープラットフォームを用いた環境構築を行うケースが多くなっております(図の「レビュープラットフォーム」の手順)。これは、①複数の担当者が漏れや重複なく大量のデータを同時にレビューできるようにするため、②あらかじめ定められたタグ付けの方法に従い、データの重要性の評価付けを効率的に行うため、③送受信者や期間、キーワード等により、レビュー対象の絞り込みを行うことができるようにするため、です。

ただ、それでも時間的な制約から人間によるレビューだけでは対応しきれない事態に対し、「ドキュメントレビュー」の段階で、全件レビューせずとも全件レビューしたことと同等の精度で調査時間を短縮してレビューを実施することができる、「人工知能」を活用したレビューも活用されてきております。

報告段階では、上記の「検査・分析」および「ドキュメントレビュー」の結果を踏まえてレポートの作成を行います。報告書の内容は公平である事、客観的である事、真正である事、理解可能である事等が求められます。また、対象者の端末から適切な手段・手順でデジタルデータを収集し、改竄されていないということも記載しておく必要があります。

より詳細な具体的留意点については別途解説したいと思います。