本記事は、不正対策に役立つ情報を会報誌「FRAUD マガジン」などから抜粋してご紹介するものです。

#060 クラウド(雲)の中における調査

クラウドサービスプロバイダー(以下“クラウド事業者”)が提供する世界中の仮想サーバーにインターネット経由で自社のデータを保存したり、またサービス提供事業者のITリソース(ネットワーク・サーバー・ストレージ・アプリケーション等)を利用する企業等の組織の数は増加の一途をたどる。これは不正検査士に重要な意味合いをもつであろう。
 
 
ジョンはロサンゼルスのABC社の内部調査員として勤務し始めた頃、ABC社の購買部門の従業員が「特定のベンダーへ契約発注する」事でキックバックを受領している可能性を示唆する情報を入手した。
 
ジョンはABC社IT部門のディレクターであるマーシャとの打ち合わせをし、被疑者である調査対象の従業員に関連するデジタル化された文書全てのコピーと、従業員の電子メールアカウントへのアクセス権限が必要である事を説明した。
 
マーシャの回答によると、ABC社は全ての文書とプロジェクト管理をクラウド事業者に業務委託しており、またIT部門のディレクターであるマーシャですらクラウド事業者のサーバーやデータ保管場所の所在地を知らない、との事であった。さらにABC社は電子メールサービスをまた別のクラウド事業者に業務委託している事が判明した。マーシャはクラウド事業者に連絡を取り関連情報をジョンに提供する事を提案した。数日後のマーシャの説明では、1つ目のクラウド事業者はメキシコにある物理的なネットワークサービス上に仮想サーバーを持ち、そこで購買業務を管理するアプリケーションを利用しているが、中国上海に所在するまた別のクラウド事業者に全ての購買関連データの保管を再業務委託している、との事であった。マーシャの説明によると、仮想サーバーとは、まさしく物理的なサーバーコンピュータにみせた(又はそのように見える)ソフトウェアであり、また彼女はこの仮想サーバーを「コンピュータの中にあるもう1つのコンピュータ」と表現した。さらにABC社はパキスタンのラホールに所在するまた別のクラウド事業者に電子メールに関するデータ保存を業務委託していた。
 
ジョンは調査遂行の為、ABC社の関連データが保存されている事が必要である旨を説明したが、マーシャによるとABC社ではこのようなインシデント発生は初めての事で、今後の一連の調査プロセスに関して会社の法務顧問(弁護士)に相談する必要がある、との事であった。
 
翌週の法務顧問との打ち合わせで、法務顧問はクラウド事業者の契約上の責任およびABC社の自社データに関するアクセス権限を判断する為、各クラウド事業者との契約書の文言を再検討する必要がある旨を説明した。また、調査用のデータ保全開始前に各クラウド事業者が所在する国の法制度を検討し、それらがプライバシー権に関する問題に触れているか否かを確認する必要がある旨も、説明した。
 
6週間後、ABC社の購買アプリケーションを管理するクラウド事業者にインタビューする為、ジョンはメキシコに遠征した。彼はクラウド事業者が使用していた仮想サーバーに関する特定時点でのスナップショットを入手したが、アプリケーショントランザクションに関する調査および解釈の為には特殊なソフトウェアと外部のコンサルタントによる協力が必要であった。
 
クラウド事業者はシステム上の個々のトランザクションに関する詳細なログ管理情報を保存していなかった為、ジョンが調査で利用できる情報は制限されていた。クラウド事業者はバックアップテープを作成していたが、当該記録媒体テープには他の顧客データが混在していた為、クラウド事業者は当該テープを提供することを拒否した。
 
さらにクラウド事業者は調査に必要な情報を含んだテープに上書き処理をしていた。ABC社の幹部役員はジョンの中国やパキスタン遠征調査要請を拒否したが、結局ジョンは、これらの国々に所在するクラウド事業者から電子メールの保存記録および購買データを入手する事が出来た。しかしデータの抽出方法や保存方法には不明瞭な点が多く、また詳細な文書を入手する事が出来なかった。彼の調査は不完全であったといえよう。
 
この架空事例はクラウドが関与する調査における深刻かつ現実味のある問題を提起するであろう。
 
ここで貴方が強制的に海外旅行に行く場合を仮定する。乗客である貴方は行き先も、到着日時も知らされていない。飛行機は常に雲の中を飛行しているので飛行機の高度やどの国の上を飛行しているかも不明である。この状況はクラウド事業者が関連資料を保存している場合の(闇雲な状況に危険性を孕んだ)調査の状況と類似している。
 
この記事はクラウドに関する特定の調査技法や情報セキュリティ問題を取り扱うのではない。このクラウドという情報技術が公認不正検査士および法執行機関の捜査官に及ぼす問題を中心に取り上げる。
 
 
クラウドコンピューティングとは (What Is Cloud Computing?)
 
いつからかITエンジニアはインターネットを「クラウド」と表現し始めた。インターネット利用者が、必ずしもインターネット上の正確なパス(訳注:パスとは、特定のファイルやディレクトリの位置を示す文字列)を明文化する必要がないからである。大多数の人々は自分の使用するパソコンが何らかの方法でウェブに接続されていて、データがポイントAからBに移動することのみを知っていればよいのが現状である。
 
Gmail、Hotmail、Google Docs、ドロップボックスやオフサイトのバックアップ会社等を利用している場合、既に「クラウドにいる」という事になる。これらのサービスは電子メールやファイルを大きなサーバーに保存している。更に高度なプロバイダーとしてはAmazon Simple Storage ServiceやMicrosoft Windows Azure等が挙げられる。ITが浸透しITなしでは業務遂行が不可能な環境下、IT管理の必要性から、組織はクラウド事業者の提供するサービスの利用機会やそのサービスの利用範囲を増加拡大させている。
 
クラウド環境下は従来のIT環境とは異なり、次のような方法を採用している。
 
  1. クラウドサービスはオンデマンド形式に販売提供され、通常、分単位、時間単位、またはボリューム単位に応じて従量課金される。
 
  1. 顧客は、必要なITリソース利用分に対してのみ料金を支払えば済み、従来のシステム導入時に必要なハードウェアやソフトウェアに対する巨額な初期投資が不要になるといったコストベネフィットを享受できる(訳注:クラウドへ移行する事による「IT資産の変動費化」)。
 
  1. クラウド事業者が大規模なITリソースを「1つの巨大なシステム」として調達および集中管理する仕組みにより、顧客企業内の必要なIT担当者数が減り、顧客企業は人的リソースの効率化等が期待できる。
 
このように少人数化されたIT担当者は、従来の様々な煩雑なシステム運用関連業務の減少で、非頭脳的な非常に簡単な業務に従事するかというと、必ずしもそうとは言い切れない。組織はインシデント対応やセキュリティ管理の一環として、(訳注:特にクラウドの持つマルチテナントモデルによりITリソースが共有される点や、データが分散して処理保存される点、といった特性に即応した)調査や訴訟ホールド、またデータのコントロールやセキュリティにおけるクラウドによる影響を真剣に検討する必要がある。
 
 
どこに証拠が存在するのか (Where Is Your Potential Evidence Located?)
 
 
今までは重要な資産の保全(およびさらに重要であるコントロール)とは、まず資産をとりまく外周囲を定義し、そしてファイアーウォール、ガード、フェンス、ロック、アラームといった情報セキュリティ対策手段を活用した。しかしクラウド時代の到来により、これらの情報セキュリティ対策手段はもはや終焉を迎えるかもしれない。
 
例えば一組織が会計業務処理アプリケーションおよびデータ保存を目的として、クラウド事業者と契約した場合、クラウド事業者は「物理的なデータ保存を他のクラウド事業者に再業務委託するケースがある。仮に再業務委託先のクラウド事業者がインドに所在する場合、公認不正検査士は、過去の記録を入手するために1つのみではなく、2つあるいはそれ以上のクラウド事業者に調査協力を仰がなければならない。
 
一方、法制度は何世紀もの間、地理的な要素および制限に立脚している。これらの地理的制限が法律上の管轄権を構築し、またそれぞれが各自の判例や捜査令状等に関する法律上の慣習を構築している。各地域の法執行機関は他国において捜査令状を発行する事が困難であることを痛感している。1つの国における裁判所は別の国において管轄権を持たないのである。
 
如何にして、これらの国境に立脚する法制度と、世界中に分散するクラウド・デジタルネットワークというデータとの差異を解決できるのであろうか。現在のところ完全な解決策があまりないが、有益と思われる幾つかの提案がある。
 
  1. 委託先クラウド事業者が調査を妨害しない法制度の管轄権内でITリソース提供およびデータ保存する事を確かめる。
 
  1. クラウド事業者が社内に、フォレンジックや電子証拠開示問題(eDiscovery)問題に取り組む高い専門性を備えた人材を確保し、調査および電子証拠開示に際して特別なサービスを提供する、といったクラウド事業者側の発展およびそのような優良なクラウド業者を選定する(法制度の管轄権問題に対する一貫した国際法は期待できない為)。
 
  1. 法曹界やフォレンジック界が、「クラウドサーバーへの物理的アクセスが不可能である」という点を認識し、何を以って「真正な証拠」とするのか、その発想の転換をする。
 
 
サーバーの仮想化 (Server Virtualization)
 
多くの人々は電子メール・プログラムや、経理部門や財務部門等におけるアプリケーションを容易にする、一つの物理的なコンピュータ設備の一部として「ネットワークサーバー」を考えるであろう。しかしこの考え方では現在のサーバーを効率的に利用することは不可能である。ここでは「サーバーの仮想化」という用語を使用する。
 
サーバーの仮想化により「格納コンテナ」という完全に独立したコンピュータのように機能する独立したソフトウェアが構築される。これらのコンテナはオペレーティングシステムとアプリケーションを、同時かつ個別に稼働させる仮想装置として機能する。これらの仮想装置は物理的サーバーのハードウェア資源を共有する為、これらの資源の最大限利用することが可能である。
 
クラウド事業者は個々の顧客に対して、物理的に同じITリソース上で同時に稼働する仮想サーバーを提供できるよう、仮想サーバーを広範囲にわたり利用する。その為、利用者はほとんどの場合、クラウド事業者に提供したデータの所在を知らず、また提供したデータ(重要情報や機密情報も含め)は他の企業がデータした情報と一色単に混在する事になる。さらに、利用者は自社データにアクセスする為、わざわざ専門ソフトウェアと知識経験が必要となる。
 
 
フォレンジックおよび電子証拠開示の問題 (Forensics/ E-Discovery Issues)
 
デジタルフォレンジック調査においても電子証拠開示状況においても、司法の場でも通用する証拠性を損なわない証拠確保の対応策として「データが保全されている事」が必要であるが、公認不正検査士には通常3つの目標がある。
 
  1. データの完全性が保証され、プロセスが文書化すること。
 
  1. 証拠を訴訟において利用する場合「証拠の真正性」を満たす為、保存された証拠の内容を証明する分析過程を管理すること。
 
  1. 解析や結論は正確に再現解析が可能であり、また容認された方法による確証が可能であること(訳注:裁判の場においては、解析担当者が証人として呼ばれ、どのようなフォレンジックツールを使用したのか、そのツールの技術的な背景はどのようなものなのか、といった証言を求められることもある為、技術的な仕組みなどをかみ砕いて裁判所に分かるように説明できる事が必要)。
 
従来の調査においては、デジタルフォレンジックに従事する公認不正検査士は、決定的証拠となる様々な重要なアーティファクトを入手および保護する為、会社組織内部のサーバーや個々のユーザーのコンピュータに対するあくまで内部的な調査作業に従事すれば済んでいた場合が多い。これらのアーティファクトには削除されたファイルや、ユーザーの活動を文書化したオペレーティングシステムレジストリー、ファイルに配分されていないデジタルメディアスペース(未割当領域)から抽出された一時的なファイルや断片的なデータといったものが含まれていた。
 
しかしながらクラウド環境下では、これらの貴重な証拠となるアーティファクトは会社内部には存在せず、(クラウド事業者の仮想サーバーに保存されたデータは常に変動するが)クラウド事業者は顧客組織のデータを適切に保存していない場合もある。また仮想サーバーの種類やその設定方法によっては、ユーザーが終了作業を行う際、自動的にアーティファクトが削除される場合もある。さらにクラウド事業者は(証拠を含むかもしれない)ディスクストレージアレイや仮想サーバーをフォレンジックイメージ化する為に必要であっても、クラウド事業者のサーバーをオフラインにすることを拒否する可能性もある。その理由の一つとしては、クラウド事業者のサーバーに関するフォレンジックイメージはほとんどの場合、調査対象会社以外の他の顧客から提供されたデータを含んでおり、他の顧客との契約上の守秘義務違反に該当してしまう事を懸念しているといった点が挙げられる。
 
たとえ完全なフォレンジックイメージをクラウド事業者が保存するメディアから入手できたとしても、システムから抽出された関連データの解析には困難が伴う。もし有益な情報を抽出したい場合、仮想装置やオペレーティングシステム、アプリケーション、ユーザーログインシステムのオペレーション作成に使用されたソフトの詳細な知識を習得する必要がある。もし会社がクラウド事業者との契約締結時に詳細なログ記録を要求する契約条項を織り込まない場合、クラウド事業者はコスト削減等の問題により詳細なログ記録を保持しないであろう。
 
仮にクラウド事業者が全てのアプリケーションとデータを保存した場合でも、分析過程を実証し、証拠の確証をするには不十分であろう。なお、かつてデジタルフォレンジックでは物理的なコンピュータや記録媒体を通じて証拠の来歴を確証すれば済み、また通常は会社内部の専用サーバーから証拠を入手し、ハードドライブや光記録媒体といったメディアに保存した。如何なる場合であれ、それら情報を操作またはアクセスする場合は活用内容を文書化する必要があった。
 
クラウドコンピューティングは分析過程を複雑にし、以下の点について不明瞭である。
 
  1. 預けたデータが誰に、どのように処理されたのか。
  1. 誰がいつデータにアクセスしたのか。
  1. 自社が預けたデータはクラウド事業者の他の顧客のデータと混在した状態で保存されているのか。
  2.  誰が解析対象のデータを取得したのか。熟練したデジタルフォレンジック公認不正検査士か、またはクラウド事業者の従業員なのか。
  1. 預けたデータが誰により保存されたのか
 
3つ目の目標(解析や結論は正確に再現解析が可能であり、また容認された方法による確証が可能であること)が公認不正検査士にとって最大の課題かもしれない。なぜなら現在のデジタルフォレンジックツールはクラウド環境下で機能するように設計されていない。また、フォレンジックの過程で多くのクラウド環境に保存されたデータの特定時点でのスナップショットを保存することが不可能な場合も予想される。さらに仮にクラウド事業者がスナップショットを提供できた場合でも、訴訟における「証拠の真正性」を満たさない可能性もある(通常裁判所は、調査発見の過程において、現在稼働中および過去の記録の即時保存を要求する)。
 
 
 
今こそプロセスの改訂を (Revamp Procedures Now)
 
複雑化する一方のITクラウドコンピューティング基盤や各国の法律上の課題は公認不正検査の妨げとなる。クラウドコンピュータ環境を解析し証拠となるデータを特定しフォレンジックで利用する目的で保存する為に必要な、高度に専門化したデジタルフォレンジック担当者を採用すると、組織の間接費は増加するであろう。
 
クラウド事業者を利用する会社は調査および電子証拠開示のデータ保存、そして権限と責任の概要を示す詳細な取り決めを含むサービスレベル契約書(SLA)を締結しなければならない。今まさに法曹界、デジタルフォレンジック界は発想の転換をし、使用ツールや研修を改訂し、クラウドによってもたらされた新たな挑戦に取り組む必要がある。特に公認不正検査士はこれらの問題を考察し、新たな手続きや方針を策定しなければいけない。今後取り扱う不正調査案件や組織が公認不正検査士による新たな手続きや方針に依存しているといっても過言ではないのだ。
 
 
これらのクラウドコンピューティングがもたらす警告に傾聴せよ
(Heed the Warnings of These Cloud-Computing Cases)
 
 
2009年、Liquid Motorsというクラウド事業者が所有するサーバーを押収する捜査令状がFBIに付与された。当該クラウド事業者は全米展開する自動車ディーラー向けに在庫管理やインターネットマーケティングを含むサービス提供を行っていた。当該クラウド事業者の顧客はクラウド事業者に貴重な機密情報を預けていた。捜査令状はある犯罪組織が犯罪行為の際に当該クラウド事業者のサーバーを利用していたという相当の理由に基づき付与された。当該クラウド事業者は調査対象でもなく、不法行為を告発されていないが、FBIは当該クラウド事業者のサーバーおよびバックアップテープ全てを押収および調査した。さらにFBIは当該クラウド事業者の顧客が所有するサーバーも押収および調査した。
 
FBIによる一連の混乱の結果として、クラウド事業者は次のものを購入する事を強いられた。
 
  1. FBIに渡す為のハードドライブ(FBIが当該クラウド事業者の顧客データのコピーを入手できるよう)。
 
  1. 新しいサーバー(当該クラウド事業者がネットワーク全体を再構築できるよう)。
 
ある記事によるとFBIによる押収および調査が当該クラウド事業者の顧客のうち50社の業務を妨害したと伝えられている。
 
情報源:Kim Zetter, Wired.com : Threat Level Blog, Conde Nast Digital, April 8,2009)
 
 
イギリスの地方法執行機関は管轄地域内の会社に対する捜査令状を執行した。当該機関は主要な証拠源である当該会社の顧客管理データベースが米国に所在している事を発見した。そこで複雑な国際法への対処や米国に所在するデータ保存に係るコストを回避する目的で、当該機関は当該会社の従業員に対し、データベースへ遠隔アクセスできるラップトップコンピュータを提出するよう求めた。フォレンジック専門家はデータベースより抽出された証拠の完全性や分析過程に関する質問をした。
 
情報源:ForensicFocus.com: Digital Forensics Forums - General Discussion, posted Feb. 3-4
 
 
 
 
 
ウォルト・マニング氏(CFE、EnCE)
フロリダ州グリーンコーブスプリングスに所在するTechno-Crime Instituteの最高経営責任者。長年のACFE会員。
 
 
ページの先頭に戻る