2022年4月から改正個人情報保護法が施行され、企業が個人データを漏えいした場合の通知・報告が義務化されました。漏えい事案を報告する際には、事故原因を突き止め、不正アクセスや不正な情報持ち出しなどがあれば、法的証拠を押さえる必要があります。こうした背景を受け、不正アクセスや情報改ざんなどの原因や場所を明らかにする「デジタルフォレンジック」が注目を集めています。
デジタルフォレンジックとは、端末に記録された情報を収集・分析し、法的証拠を明らかにする「デジタル鑑識」のこと。デジタルデータを扱う企業のリスクマネジメントとして、デジタルフォレンジックへの備えは今後ますます不可欠なものになっていくでしょう。
個人情報保護が厳格化された今、デジタルフォレンジックへの備えは企業にとってどのような意味を持つのか、その重要性を解説していきます。
データの加工や改ざんの痕跡を検証するデジタルフォレンジックとは?
「小まめな保存を怠ったために、突然のPCの不調で貴重なデータと時間を失ってしまった」「元のデータを残しておくべきなのに、うっかり上書き保存してしまった」──誰しも一度や二度は、そんな悲しい経験をしたことがあるでしょう。また、人為的ミスだけでなく、第三者による改修・改ざんなどにより、データが本来あるべき姿ではなくなってしまうこともあるかもしれません。
こうしたケースで、残されたデータと復元されたデータを収集し、事案発生までにどのような操作や変更がなされたかを解析するデジタルフォレンジックを行うことがあります。「フォレンジック」は、直訳すると「法廷の」という意味で、法的証拠を見つけるための鑑識調査を指します。中でも、コンピューターやデジタル記録媒体に残された証拠を調査・分析するのが「デジタルフォレンジック」です。
デジタルフォレンジックの種類
デジタルフォレンジックは、大きく分けて以下の3種類に分類され、それぞれ必要とされる知見や技術が異なります。
・コンピューターフォレンジック
コンピューターや記録メディアを対象とした情報解析。パソコンのハードディスクに保存されたデータを調査・解析するとともに、操作の履歴、USBメモリーなど外部記録メディアの接続履歴、削除されたデータの復元などを行います。
・モバイルデバイスフォレンジック
スマートフォンなど、モバイルデバイスを対象とした情報解析。デバイスに残されたデータを調査し、通話記録、アプリの使用履歴、インターネットへのアクセスログなどを収集・分析します。
・ネットワークフォレンジック
ネットワーク機器を対象とした情報解析。パケットキャプチャーというツールを使用し、ネットワークに流れるデータを集めます。いつ・どのような経路で、どの端末からデータが送受信されたかを解析することで、不審な動作を行った端末を特定。サイバー攻撃を受けたときの、インシデント発生源を突き止める際にも役立ちます。
デジタルフォレンジックの手順
発生した事案や、状況によっても異なりますが、一般的に以下のようなプロセスで行われます。
また、デジタルフォレンジックは、データの加工や捏造の痕跡を検証するだけではありません。ハッシュ値やデジタル署名といった技術を用いてデータ改変が生じていないことを証明する、データ保全も含まれます。ハッシュ値とは、元データからあらかじめ定められた計算手順によって生成された値。データがわずかでも改変されるとハッシュ値が大幅に変わるため、データの同一性を確認する手掛かりになります。
改正個人情報保護法によって増した企業の責務
ここまでデジタルフォレンジックの概要について説明してきましたが、今、デジタルフォレンジックがにわかに注目を集めている背景には、改正個人情報保護法の影響があります。2022年4月より施行された改正個人情報保護法では、不正アクセスなどによる個人情報漏えいが認められた場合、個人情報保護委員会への報告や本人通知が義務化されました。たとえ企業内で情報漏えいや改ざんの対策を十分に行っていたとしても、サイバー攻撃を防ぎ切れないことはあるでしょう。また、従業員がUSBメモリーなどを用いて情報を外に持ち出すなど、内部不正によって、セキュリティーインシデントが発生することもあります。
実際、2022年3月に行われた「改正個人情報保護法における法人組織の実態調査」(トレンドマイクロ株式会社)によると、個人情報の漏えい理由は「従業員や委託先による不慮の事故(送信ミスなど)」が49.0%で最多ですが、「従業員や委託先による故意の犯行(内部犯)」(39.1%)、「外部からのサイバー攻撃」(32.5%)などの回答も多くなっています。
近年、従業員が顧客情報を名簿業者に販売したり、ローンチしたばかりの決済サービスが不正アクセスによって事業停止に追い込まれたりと、大きな被害を生んだ事件もありました。これらはシステムの不備や故意の犯行などが原因でしたが、デジタルフォレンジックによって早期に問題に気付き、原因や経路を特定できれば、ここまで被害が広がらなかったかもしれません。
今回の改正個人情報保護法では保有個人データの範囲が広がり、違反した場合に課せられるペナルティーも厳しくなりました。どのような安全管理措置が講じられているか把握できるようにするため、原則として安全管理措置の公表も義務化されています。漏えいなどの報告は、速報として3~5日以内、確報として30日以内(不正アクセスなどの場合は60日以内)の2段階で行う必要があり、迅速かつ細やかな対応が求められます。
セキュリティー管理の徹底や従業員のITリテラシー教育などももちろん必要ですが、今後はデータの正当性を法的に証明することができる仕組みを構築しておくことや、万一問題が起きたときに適切に対応することも重要になるでしょう。
デジタルフォレンジックへの備えは顧客も企業も守る
このように、デジタルフォレンジックへの備えは、企業にとって今や不可欠です。デジタルフォレンジックを適切に行うことで、二度と同じようなことが起きないように対策を打つことができるでしょう。また、仮に訴訟などに発展した場合も、デジタルフォレンジックによって収集したデータを証拠として提示することができます。つまり、デジタルフォレンジックは、顧客の情報を守ることにも、企業自身を守ることにもつながるのです。
では、具体的に何をどのように行うべきなのでしょうか。まず必要なのは、個人情報の漏えいや機密情報の改ざんリスクをゼロにすることは難しいため、インシデントが起きることを前提に対策を考えることです。
次に、デジタルフォレンジックの調査には、コンピューターやネットワーク、サイバーセキュリティーに関する高度な専門知識が必要です。そのため、必要に応じて、外部の専門業者に相談することも検討すべきでしょう。
その一方で、専門業者に任せるだけではなく、企業側でも事前準備をしておかなければ、いざというときにデータ復旧が困難になったり、分析精度が低下したりする恐れがあります。例えば、証拠となるログを取得できるIT環境の整備、社内ルールの整備、インシデント対応マニュアルの策定、サイバー攻撃でインシデントが発生した際に速やかに対応にあたる「CSIRIT(Computer Security Incident Response Team)」と呼ばれるチームの構築など。こうした準備を怠ると、デジタルフォレンジックをスムーズに進めることができず、調査にかかる時間と費用も大幅に増えかねません。日頃からしっかりと準備し、それを周知することは内部犯行に対する抑止力にもつながるでしょう。
このように、セキュリティーベンダーとの連携と社内の体制強化の両輪で、対策を講じることが必要だと考えられます。そして、セキュリティー対策をしている事実を周知して情報開示に努めることは、不正への抑止力になるだけでなく、顧客や取引先、株主など多くの関係者と良好な信頼関係構築も実現させるでしょう。大切な個人情報を不正利用されないよう守ることが、結果として企業の信頼獲得にもつながるのではないでしょうか。
日々データを利活用する人たちにとって、個人情報の漏えいは他人事ではありません。デジタル化によって情報漏えいなどのリスクが高まる可能性があるため、DXを推進している多くの企業において、デジタルフォレンジックへの備えは欠かせないものになっていくでしょう。ぜひこれを機会に、自社のセキュリティー対策を見直してはいかがでしょうか。
