デジタル・フォレンジックは、企業価値向上にもつながる。第4回目の今日は、内部統制やセキュリティといったデジタル・フォレンジックの多彩な応用面に迫る。

──　犯罪捜査から、次は主に企業におけるデジタル・フォレンジックの活用についてお聞きします。具体的には、どういうケースが考えられるのでしょうか。

　企業では近年、個人情報保護などコンプライアンスが大変重要になっています。デジタル・フォレンジックによって、不正アクセス、個人情報漏洩、不正会計などを調査することができます。デジタル・フォレンジックが企業で活用される場面は今後増えていくと思います。

　それは単に不正を解明するというだけのことではなく、デジタル・フォレンジックを通して、より一層その企業に対する信頼性を高めることにもなります。
つまり、自分たちはここまできちんと対策を取っていますよ、というメッセージにもなるわけです。ビジネスにおける企業価値を高めるためにも、デジタル・フォレンジックは重要な手段になるでしょう。

──　ただ、社内でデジタル・フォレンジックを活用するといっても、警察ではないわけですから、運用や妥当性という点で、難しいところがあるのではないでしょうか。

　ですから、こういうふうにやっていけば、デジタル・フォレンジックとして有用ですよ、という保証が必要になってきます。警察は、デジタル・フォレンジックを運用する上での基準を持っているわけですが、民間にもそのような手順が要りますよね。
　そこで、デジタル・フォレンジック研究会では、今年1月26日に証拠保全ガイドラインを公表しました。民間がこれに従ってデジタル・フォレンジックを運用すれば、信用できる結果が出ますよ、というものです。

　それから、事後的に証拠を保全・調査するだけでなく、犯罪や不正を事前に抑止するためにデジタル・フォレンジックを活用することもできます。セキュリティとしてのデジタル・フォレンジックですね。
　　NISC（内閣官房情報セキュリティセンター）が策定した第2次情報セキュリティ基本計画（リンク：PDF）でも、「デジタルフォレンジックに係る知見の集約・体系化」が明記されています。セキュリティとデジタル・フォレンジックは、密接に関わっているものなんです。
　つまり、デジタル・フォレンジックの活用には、セキュリティが破られてしまった後と破られる前という、2つの面があるんですね。

■デジタル・フォレンジックは消費者利益にも合致する

　セキュリティが破られてしまった後の場合は、起きてしまったインシデント（出来事）に対して、原因を突き止めるために証拠を集める。証拠保全、鑑識としてのデジタル・フォレンジックです。
　一方、セキュリティの確保としてのデジタル・フォレンジックでは、インシデントが起きないように、デジタル・フォレンジックのツールを事前にネットワークに入れて常時監視しておく。そうすることで、インシデントの抑止になりますし、仮にインシデントが発生した時にも、直ちに対処することができます。

COSOキューブ作成にあたって

──　そういったデジタル・フォレンジック活用は、内部統制というテーマにも深く関連してきそうですね。

　2005年に金融庁企業会計審議会が出した内部統制基準に関する報告書では、アメリカの内部統制の考え方に加えて、日本独自のIT統制という考え方を入れてあります。これは、まさにデジタル・フォレンジックにも通じる考え方です。
　アメリカでは、1992年にCOSO（トレッドウェイ委員会組織委員会）が作成したCOSOキューブという考え方があります。COSOキューブによれば、内部統制の5つの要素は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、とされています。日本の内部統制基準では、IT時代に対応するということで、COSOキューブに加えてIT（情報技術）への対応が盛り込まれました。

──　企業内部でデジタル・フォレンジックが活躍することはわかりましたが、企業のサービスを利用する消費者にとって、直接影響することなどはあるのでしょうか。

　　基本的には、消費者にとってデジタル・フォレンジックは間接的な存在でしかないと思います。企業がおかしなことをやっていないかどうかを、デジタル・フォレンジックによって担保されるという間接的なものですね。
　ただ、たとえば消費者生活センターのような団体が、デジタル・フォレンジックによって消費者被害事例などを調査していくというケースは、今後考えられるかもしれません。消費者保護という観点でデジタル・フォレンジック技術が応用されるようになることは、もちろん望ましいことだと思います。