製品進化とマネジメント風景第111話セキュリティ事故に対応するための記憶メディアマネジメント

2024.05.27 コラム

私が社会人になった1980年代後半においては、企業における重要情報は紙か人の頭の中に保存されていました。これに対して、今の世の中は、情報といえばデジタル情報です。ついに銀行までが通帳のペーパーレス化に向けて進み始めました。

情報のデジタル化が進んだ結果として、企業の内部と外部には、従来と異なるタイプの敵が生まれました。外部の敵はIT技術に精通した集団であり、企業の情報システムに侵入して重要な技術情報を盗み出す、あるいは事業情報を使用できなくして身代金を要求するなどの犯罪を起こすようになりました。

内部の敵は、ひと言でいえば横領などの社内不正ですが、新聞などを見る限り、まだ企業内犯罪者のレベルは低く、情報システムの網の目に引っかかるようです。しかし、少しずつ、情報システムに侵入した痕跡を消去する事例も増えてきたという声も聞こえてきます。

「侵入した痕跡を消す」という話を聞くと、「侵入者は高度なＩＴ技術を持っているのだな」と思いますが、実はそれだけでなく、記憶メディアの技術進化が痕跡を消すのに一役買っていると言えば驚かれるでしょうか？　

たくさんの人がいれば、高度な方法を学習して社内に悪用する輩もいるはずです。「備えあれば憂いなし」という諺の示す通り、後で後悔するよりも、外の世界で起こっている情報システム上の脆弱性を認識して防衛の準備をすることは、企業だけでなく、個人の生活にとっても必須事項になりつつあるように思われます。

今回のコラムでは、まず、社外からの侵入者の手口を概観します。その上で、情報システム上の事故が発生してしまった時に用いられるデジタルフォレンジック（デジタル鑑識）のプロセスを確認していきます。

「フォレンジック」は日本語に訳すと「鑑識」という警察用語ですが、今の時代、デジタルフォレンジックは企業が身を守るツールです。プロセスの概要に加え、直面している課題も確認します。主たる課題は記憶メディアに関することなので、その技術進化と、進化がデジタルフォレンジックに与える影響を確認します。最後に、重要なビジネス情報、技術情報を抱える企業が、社内外の不正から身を守るためにどう対処すべきかを議論し、一定の結論を述べます。

社外からの侵入手口の代表例としては、DDoS攻撃（分散型サービス妨害攻撃）、フィッシング、水飲み場攻撃、そしてランサムウェアを挙げることができます。金目当ての攻撃者の目的は４番目であり、前の３つは４番目のための準備、手段と言えましょう。

DDoS攻撃は、サーバーやネットワークに大量のデータを送り付けてサーバーに負荷をかけ、実質的にWebサービスを提供できないように妨害する攻撃です。これにより、サービスが遅延・停止するだけでなく、セキュリティ対策の効果も弱まり、システムの脆弱性が露呈します。その結果として、内部に侵入されてしまうわけです。

フィッシングは電子メールを使って仕掛けられることが多く、フィッシングメールという言葉が定着しました。メールを開き、そこに記載されているファイルを開く，あるいはリンクをクリックすると、マルウェアがダウンロードされてしまう類のものです。フィッシングメールが巧妙になったため、本物と偽物が見分けにくくなりました。私個人は、Webサイトやアプリで確認できる内容であれば、メールに添付されたリンクを開かないようになりました。

水飲み場攻撃はより巧妙であり、本当に狙われたら防げそうもありません。攻撃目標とする企業人が頻繁にアクセスするWebサイトを特定した上で、そこに侵入し、一部を書き換え、クリックしたらマルウェアを自動でダウンロードするようにしてしまう方法です。この他、スマホアプリの更新プロセスを乗っ取って、そこにマルウェアを仕掛ける方法もありますが、これも水飲み場攻撃の派生型と考えられています。

水飲み場攻撃は、企業や機関の公式Webサイトを改変するので、その企業が気付けばサイトは閉鎖されるが、登録ユーザーにはアクセス中止を勧告する連絡が行くでしょう。そうなれば攻撃側にとっては骨折り損のくたびれ儲けになります。とは言え、気付かれるまでに数人でもアクセスすれば、攻撃者は目的を達したことになるのかもしれません。

ランサムウェアについてはご存じの方が多いと思うので、この場では述べません。

さて、デジタルフォレンジックは、社外侵入や内部不正があった時の証拠や手口の痕跡を収集する方法として20年前くらいから米国で始まりました。そこで確立された手法は、裁判の証拠になるだけでなく、企業を社内外の敵から守る手段となります。

プロセスは非常にオーソドックスです。プランを立て、証拠となるデータを保全し、データを処理・解析し、最後にレビューを行うというものです。技術開発や製品開発のプロセスと大差ありません。

このデジタルフォレンジックは、今、２つの課題に悩まされています。どちらも記憶メディアに関係します。まず１つ目は、データ量が急増したことに起因します。2005年には２次記憶装置の容量は60-200GBでしたが、2010年には1TB(1000GB)になり、2021年には20TBとなりました（3.5インチハードディスク）。2025-2026年にはこれが50TBになると予想されています。

「容量が増えてもCPUやGPUの速度が上がれば問題ないのではないか？」と主張する人がいるかもしれませんが、そうでもありません。2次記憶装置とコンピュータの間のデータ転送速度があまり向上していないからです。データをコピーするだけでもかなりの時間がかかるのです。仮に100Mbpsの転送速度だとすると、200GB時代には35分で済みましたが、20TBでは2.5日もかかります。企業のサイズが大きくなれば記憶容量も多いので、コピーするだけでこの数倍の時間が掛かってしまうでしょう。

データの処理、解析はもっと大変です。藁の中の針を探す活動になるからです。テレビドラマでは、調査をする人が書類の山を徹夜で読み込んでいる姿を見掛けますが、それは一昔前の姿であり、もはや人間が対処できる量ではありません。コンピュータを利用して藁の中の針を探す仕事になります。

コンピュータを利用して藁の中の針を上手に探す鍵は検索ワードです。隠したい事は通常、生々しい表現をせず、暗喩的な言葉を用いるものです。それを言い当てるには勘と経験ということになるのでしょうが、そうなると探す人のスキルのバラツキが顕在化します。バラツキを避けるには、暗喩として使う言葉をデータベースし、それを言語系AIに学習させる必要が出てくるでしょう。でも、AIは信用できるのでしょうか？

最近行われている方法は、まず、対象資料の一部（例えば30%)について人とAIの両方で調査を行い、その結果の一致度を評価します。両者の一致度が一定レベル（例えば95%)を超えれば、使用したAIは信頼できる判断し、残りの資料（今の例では70%）の調査はAIだけに任せるという方法が用いられているようです。僅かな抜け漏れはあるでしょうが、妥当な使い方だと思います。

さて、ここまで述べた作業もかなり大変ですが、今、最も深刻なのは、記憶メディアの技術進化が証拠保全をより難しくさせていることです。次はその話に進みます。

今日、業務用に使うデータの記憶メディアと言えば、HDD(ハードディスクドライブ)、SSD(ソリッドステートディスクドライブ）、SDカード（セキュアデジタルカード）、USBメモリ（ユニバーサルシリアルバスメモリ）でしょう。ただ、実はもう１つあります。それは過去の遺物と思われていた磁気テープです。最近、急速に復権して需要が伸びていますが、これは経済的にも社会的にも合理性があると個人的には考えています。その理由は以下を読み進めていただければ分かるでしょう。

上に述べた記憶メディアをデジタルフォレンジックの視点で眺めると、大きく２つに分類することができます。１つは、高速な書き込みや読み込みは苦手だが長期の保存に適した記憶メディアであり、もう１つは、書き込み・読み込みは高速だが長期の保存に適さない記憶メディアです。

前者はHDDと磁気テープであり、後者はSSD、SDカード、USBメモリというフラッシュメモリ製品です。両者の違いは記憶のさせ方にあります。HDDと磁気テープは磁気を使って０と１を表現して記憶します。これに対して、フラッシュメモリ系の記憶メディアは、電子の有無で０か１かを記憶します。

磁気による記憶は、上書きをされない限り、仮にファイルを消去しても記憶は残っています。また、電力の供給がなくても記憶は喪失しません。紙と比べると負けるかもしれませんが、かなりの耐久力があるということです。これは証拠保全の観点で言えば、優れた特性と言えるでしょう。

一方のフラッシュメモリ系メディアは、電子を部屋に閉じ込めているので、電力を掛けないで長期間放置しておくと電子が部屋から逃げ出して情報が失われます。

また、フラッシュメモリはローカルな上書きが出来ないので面倒な手続きをし、これも証拠保全にマイナスの影響を及ぼします。具体的には、書き換えの際はブロック単位でいちど作業メモリにコピーし、書き換えた後に空いている別ブロックに書き戻します。HDDと異なり、データの記憶場所が頻繁に変更されるので、痕跡から削除データを追跡するのが難しいのです。

結果として、フラッシュメモリ系の記憶メディアが増え続けると、証拠保全がしにくくなり、不正の摘発と検挙を難航させることになるのです。日常生活においても、大事な情報をこの種のメディアに入れて保管していると、数年経過したらデータが失われてしまったということが起こりえるのでご注意ください。

では、どうすれば良いのでしょうか？　企業統治と防御の観点で言えば、いつ、誰がそのデータにアクセスしたかの証拠が残る形で、その情報を磁気系の記憶メディアに残すことです。

外部侵入者が企業の情報システムに侵入した際は、決定的な行動を起こす前に数か月の調査をしているという報告があります。つまり、この数か月間の間には何らか侵入の痕跡が残っているということです。

侵入者は決定的な行動を起こした後は痕跡を消去すると言われているので、被害を受けた後に調査を出来るよう、彼らの調査期間中の痕跡を磁気系メディアに記録できるよう、システムの可視化を進め、ログを漏れなく記録する必要があります。ただ、この活動は被害を受けた後の話なので、被害を回避するには、日常活動の中で異常な痕跡を見つける活動も同時に行う必要があります。こういう作業は、前述したようにAIが向いているので、企業ガバナンスの一部としてこの種のAI需要は高まるでしょう。

こういう話をすると、「証拠保全としては良くても、磁気系メディアは高コストなのではないか？」という問いをする人が出てくるかもしれません。しかし、現時点では経済的にも磁気系が優れているのです。それを数字で示しましょう。

2024年現在の数字ですが、磁気系のHDDの単価は1GBあたり約2.5円です。磁気テープ(LTOテープ）については、保管庫の空調費を抑制できることもあり、運用コストはHDDの1/4～1/10と言われています。フラッシュメモリ系については、SSD、SDカード、USBメモリのどれも、概ね1GBあたり10円です。

これを見ても単純に記憶容量ベースのコストは磁気系が安いと言えるでしょう。ただし、磁気テープはアクセス性に難があり、HDDは機械的な可動部分があるので使用頻度が高いと劣化が進みます。頻繁なアクセスがあるならば、可動部のないSSDの方がコストはやや高いですが長い期間使えます。

以上を総合すれば、短期的な活動ではフラッシュメモリ系の記憶メディアを使い、中期はHDD、長期は磁気テープを使うというのが経済的にもセキュリティ的にも優れた対応策になるのではないでしょうか？　個人のデータ保存についても、同様にした方が良いのは言うまでもありません。