【フォレンジックの核心】証拠能力を保証する「信頼の連鎖(CoC)」とは何か?
これまで現代におけるフォレンジックの有用性について解説を行ってきましたが、フォレンジックの究極的な目的は、法廷で証拠として用いることができるということにあります。刑事・民事裁判での利用はもちろんのこと、組織におけるインシデントレスポンスでのフォレンジックの利用にあたっても、内部不正時に懲戒処分を行ったり、サイバー犯罪の攻撃者や被害を特定する際にも同様に厳格性が必要になります。
では具体的にこの証拠性を保持するにはどういった手続きが必要になるのでしょうか?それが今回解説するCoCです。
CoCはChain of Custodyを略したもので、日本語に直すと「信頼の連鎖」といった意味になります。フォレンジックを行う過程でさまざまなデジタル証拠が確認されますが、それらの証拠ひとつひとつについて、いつ、どこで、どのように集められて、保管されて分析されたのか?それを絶え間なく記録していくプロセスの事になります。
いわば、デジタル証拠のライフサイクルを管理するともいえるでしょう。
実際には記録簿を用意して、証拠のリストアップから、誰が何のために証拠に接触して、何を行ったのか、あるいは現場で押収した関与するPCなどの電子機器をフォレンジックを行うためのラボに移送することはよくありますが、その際にどの輸送業者を使ったのかといった記録を事細かに記載していくのです。
これを連続的に途切れることなく記録することで、初めて証拠に信頼性が生まれます。
なぜCoCが重要なのか?
このCoCの考え方はフォレンジックにおいて中核ともいえる、極めて重要な考慮ポイントです。それはなぜでしょうか?
まずは証拠の完全性と真正性を確保するために必要だということが挙げられます。完全性とは、証拠が改ざんされていないという事を保証するもので、真正性とは、そのデジタル証拠がまさしく本物であり、信頼に足りるという事を担保します。
これは物理的な犯罪で考えてみると分かり易いです。殺人事件があって、凶器にナイフが使われたとします。このナイフに残されていた指紋が、悪意のある何者かによって拭われてしまったら完全性は失われてしまいます。また、このナイフがそもそも誰のものなのかすら疑わしかった場合には、誤認逮捕にもつながりかねません。
デジタル証拠は、物理的なナイフよりも、より容易に改ざんや削除が可能だというデジタル特有の性質を持ちます。そのため、厳格な管理が必要になるというわけです。
また、冒頭でお話したように、法廷の場での証拠の信頼性に直結します。CoCによってライフサイクルが厳格に管理された場合の裁判官などへの心証は良いものになります。一方で、CoCが成立していない場合は、いつ誰が証拠に手を加えているかといった根本が揺らぐため、一気に信頼性が下がります。
その場合は、証拠として採用されないといった結果があり得るのです。これはフォレンジックの失敗であり、あってはならないことです。
CoCフォーム
CoCの管理簿は、証拠管理記録票とも呼ばれます。CoCフォームといった呼称もあります。どちらも実際の運用で用いられる、具体的な帳簿です。
記載内容としては、事件を一意に示すID(ケースIDと呼ばれることが多いです)や、全ての証拠品に付与される識別番号、証拠品の型番やシリアル番号、取り扱いをした者の氏名、保管場所などがあります。
ハッシュ関数の利用
証拠の完全性を保つためには、具体的な技術としてハッシュ関数が活用されています。
これにより、証拠を押収した段階で取得したハッシュ値が、分析後法廷に提出されるまで、当時と同様のハッシュ値を保持していたのなら、途中で改ざんなどが行われていないという、科学的・技術的に強力な裏付けとなるからです。
こういったハッシュ値もCoCフォームに、ポイントポイントでもれなく記載していくようにします。
なお、証拠品をフォレンジックで取り扱ううにあたって、このハッシュ値を変えないためには、記録装置にアクセスする際に、ライトブロッカーとも呼ばれる、物理的、ソフトウェア的に書き込みを防止する専用機器を用いることが多くなっています。これらを活用して、完全性の確保を実現していきます。
まとめ
CoCはデジタル証拠の管理の連鎖であり、完全性と真正性を担保するのに非常に重要な概念になります。フォレンジックの信頼の基盤となる中核的な概念であるといえるでしょう。
実際の運用ではCoCフォームの記載漏れや、誤って外部記憶装置のような証拠品にライトブロッカーなしでアクセスしてしまい、書き込みが行われてしまうと、途端に証拠性としての信頼性が著しく下がります。
そういったことの無いように、CoCの概念の理解は関係者間で充分に共有されるべきであり、予め手順に定めておき、それを徹底することが重要だといえるでしょう。
