デジタル・フォレンジック入門−法律家の立場から−

平成23年8月

弁護士 高橋郁夫

1デジタル・フォレンジックの概念

 1.1現代社会とデジタルデータ

現代社会において、コンピュータでの処理は、いろいろな活動に欠かせないものになっている。そして、人々の活動が、コンピュータでの処理をベースに行われている以上、それらの活動に、何か問題が起きたときに関わってくる裁判や証拠という話も変貌を受けざるを得ない。

このような問題を「デジタル証拠の保全、識別、抽出、ドキュメント化についての考察」という観点から分析するのが、デジタル・フォレンジックという学問の切り口である。


個別の問題は、それぞれをみるとき、従来も議論されてきたものということができるであろう。その意味で、デジタル・フォレンジックを新たな概念であるかのように解説する立場は、学問的な正確性を有するものではないことに留意すべきである。しかしながら、デジタル・フォレンジックという観点から分析することは、技術と裁判という二つの側面の融合をさらに意識させるものとなり、まさに現代的な問題を浮き彫りにするものとなる

1.2. 概念の各段階について

具体的なデジタルフォレンジックの概念を概観するには、各段階ごとに論点を洗い出すのが有意義であろう。
保全、識別、抽出、ドキュメント化の各段階ごとにそれぞれ、技術的な論点、法律的な論点を見ていくこととする。また、これらの論点を中心に、これらに関連する問題を周辺論点としてまとめておくことは有意義であろう。

2 デジタル証拠の保全について

 

デジタル証拠は、きわめて瞬間ごとに変化し、消滅していくものである。従って、一定の法的な意味をもったインシデントが発生した場合に、どのようにしてデジタル証拠を保全するべきかという論点がある。これは、その後、証拠にアクセスして識別していく前段階ということになる。


(1)
技術的側面からの要請

この点での最大の要請はデータのバックアップであり、技術的には、ミラーイメージの作成ということになる。この際に、しかけられたトロイの木馬プログラムなどによりデータが破壊されないように心がけることになる。物理コピーを取得して、それぞれのハッシュ値を比較するというような話がでてくることになる。この点については、技術的な標準手法が確立している。

また、インシデントが発生した際に、的確に対応し、その後の証拠を確保するというインシデント・レスポンスという観点もこのデジタル法科学の観点から分析されることになる。

特に、この視点からするとき外部からの変化の要因を除去することが必要になってくる。

(2)法的な側面からの分析

 

証拠をどのような根拠から保全しうるのかということが問題になる。

民事上については、E-discovery(またはDiscovery of Electronic EvidenceDEE)という観点から紛争が現実化した段階で、当事者間では、証拠を保全すべき一般的な義務が発生すると考えられている点(いわるリティゲーション(訴訟)ホールドである)は注目に値する。この点は、訴訟支援について見るところで詳述する。

また、刑事的には、プロバイダ等に対する協力要請が、そのような証拠の保全という観点から考えられる。この点は、改正刑法におけるプロバイダーに対する協力要請の規定がこれに関連するものといえる。問題が発生する以前からログなどを保全しておくこと(retention リテンション)や問題が発生してからその証跡を消去しないでおくこと(preservation プリザベーション)が存在する。

リアルタイムで証跡を残して分析すること(surveillanceサーベイランス)とは、観点が異なり、これらをあえて混同すると、単なる保全を「コンピュータ監視」などというアジテーションになる。

 

3  デジタル証拠の識別について


これは、具体的なデジタル証拠のデータにアクセスし、データの内容を覚知する過程である。デジタル証拠の発見の過程ということもできる。この過程には、どこに、またはだれのもとにデータがあるかという探索の問題も含めて考えることができよう。

従って、この識別の過程は、(1)探索の過程と(2)アクセスの過程(3) データ認識(4)同一性判断の過程にわけることができる。これは、その後の証拠力を判断し、抽出する過程へとつながっていくことになる。

(1) 技術的な論点

この識別の論点については、以下のとおりである。

()探索の過程とは、どこに、誰の、どのようなデータがあるかを突き止めることである。

どこにという観点からは、モバイル機器のどこにデータが存在するのかというのを突き止めることがポイントになる。はたまた、モバイル機器のみならず、主たるデータは、クラウドで、仮想OSによって管理されているということになる。

誰のデータという点については、特に攻撃者を突き止めるという作業がポイントとなる。攻撃者のIPアドレスをつきとめたりする作業がポイントとなる。攻撃者のプロファイリングなども議論されている。

また、攻撃者を突き止めた場合には、サイバーインテリジェンスの観点からは、それに対する「封じ込め」や反撃の論点も存在する。この点についてネットワーク法科学の分野であるということができよう。さらに、「ネットワーク法科学データおよびデータベース 」「Visual query interface 」「Network forensic data visualizers」などの手法が議論されている。

()アクセスの過程においては、インシデントがあることを発見し、それに関する証拠の収集が問題となる。まず、インシデントの発見という観点がある。これついては、「侵入検知サービス」が議論されるし、また、さらに過去の事実を再現する行為を「デジタル探偵(Digital Detective )」をするということがある。

また、実際に、法執行などでコンピュータの捜索・押収などもこの点で議論することができる。具体的には、捜索の前の準備、捜索の手順(ガイドライン)、記録の重要性、実際の捜索・押収(準備、スナップショット、移動、検査)などの論点ということになるであろう。

()データ認識においては、隠されたデータ(スワップファイル、メモリ上のデータ、ファイルスラック、消去されたファイルなど)、データ回復(リカバリー)や暗号の問題が議論される。データのコンバージョンなどの問題もある。このコンバージョンというのは、どのようなソフトウエア、ハードウエアなどを利用して、利用し得る形態に返還するかという問題である。


(
)同一性判断は、まさに狭義の「識別」と呼ぶこともできる問題である。デジタル証拠をめぐる過程では、種々のコンピュータ上に種々のデータが、認識される。そのうち、どれとどれが同一であるのかを判断していくことが問題となる。この観点からは、とくに正確な時間の問題が議論される。

(2)法的な論点


この識別の論点については、上記の各項目ごとに対応させると以下の法的論点を指摘することができるであろう。

()探索の過程のうち、どこにデータがあるか認識するという問題については、訴訟ホールドなどの場合には、モバイル機器、SNSに存在するデータ、クラウドに保存されているデータなどのデータのありかを確定するという問題がある。

また、攻撃者を突き止めるという作業については、これをなしうる法的根拠、また、得た結果について、法執行機関に対する自発的開示の問題となるであろう。また、法執行機関がなす一般的な電子的監視といわれる行為についていえば、その根拠がポイントとなる。

また、サイバーインテリジェンスの観点からは、情報取得の根拠、分析とプライバシーの問題、また、サイバー戦争概念にともなう諸問題などの概念をどのように位置づけるかという論点も存在するであろう。


(
)アクセスの過程における法的論点としては、そもそも、アクセスをなしうる法的な権限というのはなにかという問題がある。

司法省マニュアルで議論されているが、法執行などでコンピュータの捜索・押収の権限として議論されている点である。また、 民間企業などで、従業員の企業秩序違反行為に対して企業がどのような根拠から、どのような調査をなしうるかという点もこのデジタル法科学での論点として認識されるのである。


また、ここでアクセスされるデータについては、後にデジタル証拠として事実認定に使われることになる。その際には、証拠として認証の過程が正当であると評価される必要があることになる。証拠については「許容性」「真正性」「完成性(Complete)」「信頼性(reliable)」「証明力(believable)」などの論点があり、かなりの部分は、このアクセスの過程における問題として認識することができるであろう。

()データ認識の過程における法的問題としては、どの記憶媒体のどこにデータが存在するか認識するという問題がある。現代では、仮想OSによって管理されているデータの存在という問題も大きいものということができよう。

法的議論としての代表的な論点として暗号の問題があるということができるであろう。

また、認識の際に正確にデータを認識することなどは、証拠についての基本的なルールの問題でもあり、特に情報の正確性を確実にするほど、データが「安全」であったかどうかという点については、「チェーン・オブ・カスティディ」として議論されている。

()同一性判断-狭義の「識別」の問題については、むしろ、実際のeディスカバリーの実務について検討するところで諸問題を検討することになろう。特に2バイトコードの問題、略語・種々の表示の問題などが種々の困難を引き起こすということがいえる。

また、法的には、時間がキーポイントとなることも多く、重要な問題である。刑事的なアリバイの問題もあるだろうし、不正競争における相手方の対するスパイ行為などとその不正性などの観点から正確な時間の記録といった問題がる。

4 デジタル証拠の抽出


現代社会において、日頃デジタルデータの形で生成されるデータはきわめて膨大なものがある。そのデータを認識したとしても、実際の事案との関連性がある証拠はなにかという観点から証拠は、抽出されなければならない。この点についての論点は、以下のようなものをあげることができるであろう。

(1)技術的な論点として

キーワードサーチの利用法が議論されている。また、ファイルなどが消去され、また、一般的な拡張子でないものがふされている場合もある。さらにバイナリーファイルについても、検索がなされる必要があり、そのための手法なども議論されている。

(2)法的な論点として

刑事的なものとしては、必要な証拠を抽出するのにあたって、法科学研究所などで分析をすることができるか、現場での捜査と分析との分担をどう考えるかという問題がある。また、どのようにして、犯罪に無関係の一般のデータに対する認識を最小限にすべきかという論点も存在する。

また、近頃は、民事での開示手続きとデジタル証拠という観点から、この抽出作業が、重要かつ一般的になってきているといわれている。いわゆる英米法の諸国においては、電子的な形でのディスカバリー(証拠開示)が、導入されるようになってきている。しかしながら、データの膨大さから、事件に関連するデータを識別し、抽出する作業に、きわめて人手および技術力がかかることがあり、いかにして、正確かつ安価にデータを抽出するかという問題が起きている。これらの詳細については、EDRMについて解説するところで検討することしよう。

 

5 デジタル証拠のドキュメント化


(1) 技術的な論点について


これは、証拠の意味や取得経過を伝えるという過程になる。まず、取得経過自体を後になされる法的手続きにおける質問に対して正確に答えるという要請がある。また、証拠自体を可視化するということもあるし、その意味自体についての分析、証言ということもある。

(2) 法的な論点について


証拠の取得経過の伝達という観点からは、前述の「チェーン・オブ・カスティディ」と証拠についての「ファウンデーション・クエスチョン」の問題がある。また、証拠の可視化については、プリントアウトの法的な意義という問題もある。


6
コンピュータ専門家と裁判


 上述のようなデジタルフォレンジック技術は、実際の社会において種々の重要な役割を果たすようになってきており、そのような技術でもって、顧客にサービスを提供する分野をリーガル・テクノロジー分野ともいうようになってきている。このリーガル・テクノロジー分野において、フォレンジック技術をもったの果たす役割として、以下のようなものがある。


6.1.
  コンピュータ専門家としての裁判への協力

 上記とも関連するが、米国の裁判においては、専門家として裁判の種々の手続きに協力することが多い。E-discoveryにおいて、その証拠の発見・分析などを行うのにもコンピュータ専門家の助力を仰いでおり、コンピュータ専門家の果たす役割は大きい。

6.2.  コンピュータ専門家証人としての証言

特に米国においては、その証拠の収集・分析などにデジタル法科学の専門家が、専門家証人として出廷し、種々の出来事について、証言する。この証言が、陪審にわかりやすく表現できるか、という点も、重要な論点である。

 

6.3. コンピュータ取扱技術の教育

 また、データに対する管理・モニタリングの技術・インシデントに対する対応技術やその他の技術など法科学の技術一般については、専門的な色彩が強い。これらの技術を依頼者の求めに応じて、依頼者の従業員に対して教育するというのもデジタル法科学ベンダの業務のうち重要な一つであるということができる。

6.4. その他

 インシデントが発生したり、また、企業内で不祥事が発生したりという場合には、法執行機関の助力を仰ぐ必要がある。その際に、デジタル法科学ベンダのアドバイスを求めることになる。また、ネットワークでの議論をモニターし、セキュリティ上の情報として依頼者に対して対応のアドバイスを提供するなども、そのようなベンダにとって重要な活動となる。