デジタル・フォレンジックが注目されている。第1回目の今日は、幅広い分野での応用が期待されるデジタル・フォレンジックの概要と、その本質に迫ってみた。

── デジタル・フォレンジックとは、どういう概念なのでしょうか。

　デジタル・フォレンジックについて、警察白書では「犯罪の立証のための電磁的記録の解析技術及びその手続」と定義しています。
一方、デジタル・フォレンジック研究会では「インシデント・レスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術」というように、より幅広い意味でとらえています。

　もともと、デジタル・フォレンジックは、警察白書の定義のように、犯罪捜査に使われる技術・手続きのことでした。ただ、そういうデジタル情報を、訴訟を念頭に置いて証拠として利用できるようにするという意味でいえば、犯罪捜査、つまり刑事事件に限らずに、民事事件でも利用できるということになるわけです。

　ですから、法的な分野では刑事事件と民事事件、さらにはビジネスの分野での利用を含め、デジタル・フォレンジックは3つの分野をカバーするようになっています。デジタル・フォレンジック研究会の定義は、そういう最新の応用範囲を踏まえたものです。

■デジタル鑑識の証拠保全技術

── 技術的には、どういったものになるのでしょうか。たとえば、デジタル情報が改ざんされていないかどうかを調べるには、個人レベルでも、ファイルのタイムスタンプやワードの編集履歴をチェックするやり方があります。そういうものをイメージして差し支えありませんか。

　そういうやり方は、自分の目で確かめられるものですよね。デジタル・フォレンジックが活躍するのは、自分の目で確かめられない部分なんです。

　要するに、コンピュータやサーバには記録が残っているけれども、自分の目で確かめられないところに、デジタル・フォレンジックのツールを使って、目に見えるようにするわけです。

── たとえば殺人事件でも、一般の人が死体を見て、その人が死んでいるかどうかは判定できます。しかし、どうやって殺されたかまでは専門的に調べないとわからない。そういうことでしょうか。

　死体だということはわかっても、毒殺なのか薬殺なのか絞殺なのか刺殺なのか、どういう形で死んだのかというのは、検視官や法医学者でないとわからないですよね。

　アメリカのテレビ番組で「CSI」という科学捜査ドラマがありますが、登場人物が「FORENSIC（フォレンジック）」と書かれたジャンパーを着ています。日本語で「鑑識」という意味ですね。つまり、犯罪捜査に話を限って言えば、デジタル・フォレンジックというのは、まさにデジタル鑑識といっていいでしょう。

── 目に見えない記録を復元するには、具体的にどういうことをするんですか。

　まず、PCならハードディスクにどういう情報があるかということを解析しなければいけないわけですが、そのためにはハードディスクをコピーする必要がある。しかし、そのコピーのやり方に問題が出てきます。単に、ハードディスクのデータをすべて別のハードディスクやUSBメモリなどにコピーしたとしても、実は同一のものにはならないんですね。

　ハードディスクは、セクタと呼ばれる領域に区分されています。そのセクタの空いているところに、どんどん情報が書き込まれていくわけです。画面では秩序だったデータも、物理的にはバラバラに保管されている。

　ハードディスクをコピーするというのは、コピー元のハードディスクに保管されているデータを、コピー先のハードディスクの空いているセクタに記録していくということになります。ですから、できあがったものは物理的にはまったく違うものになるんですね。

　物理的にまったく違うものができるということは、コピーの過程で何かミスや細工をしたのではないかと裁判では疑われてしまうこともないではありません。そうならないために、元のハードディスクと物理的に同じコピーをつくる必要があります。こうして行われるコピーを物理コピーと言います。

　実際の証拠保全では、物理コピーを2つ作成します。1つはそのまま封印して、後から再調査が必要になった時のために置いておきます。そして、もう1つの方を解析していくんです。

　物理コピーを作って、解析をして、そしてレポートを作成する。このプロセスが、デジタル・フォレンジックという技術なんです。証拠を保全してから、その間に何の加工も加えられずに、同一のものが解析されていますよ、ということが大事なんです。これをchain of custodyといいます。