興味本位で始めた趣味が高じて本業に

セキュリティ関係の講演ではPort139の肩書きでよく目にすることが多かった、伊原氏。実は氏のキャリアのルーツは、長野県飯田市に本社のある父親の会社にて、システムインテグレータとして仕事を始めたところにある。しばらくは、NetWare等のインテグレーションを中心とした業務を行っていた。

その傍ら、1995年にIDG社の雑誌にWindows系のセキュリティに関する連載を行ったり、1996年には日本Windowsユーザ会の立ち上げを行ったりしているが、これもあくまでも趣味の範囲。システムインテグレータとしての仕事は、きちんと本業として行っていた。ただし、当時Windowsに関するセキュリティを語れる人材が少なかったこともあり、セミナー等での講演や執筆依頼が徐々に増え、気づいたら趣味（セキュリティ関係）と仕事（システムインテグレータ）に割く時間が逆転していたとのことだ。

自社サイト書き換えでコンピュータ・フォレンジックに目覚める

それでも、システムインテグレータとしての仕事は続けていたある日、自らの会社のウェブサイトが何者かに書き換えられるという事件が起きた。幸い、本業でTripWireによるファイル改ざん検知システムを扱っていた関係上、その事実はすぐに検知できた。また手法も、当時Windows 2000 サーバのIIS上にて指摘されていた脆弱性、即ちUnicodeを利用したディレクトリ遡りによる攻撃によるものであることが、残されていたログファイル等から判別できた。

しかし、最終的にどうしてもできなかったことが2つ残ってしまった。それは、被害範囲の特定と攻撃者の追跡である。この時、伊原氏は初めてこの両者を扱う世界、つまりコンピュータ・フォレンジックと出会ったのだという。また「フォレンジック」という言葉に出会ったのも、「不正アクセス調査ガイド―rootkitの検出とTCTの使い方」（渡辺勝弘氏との共著：2002年4月出版）を執筆している最中のこと。「コンピュータ・フォレンジック」と言う用語は、日本ではようやく耳にする機会の増えてきた言葉であるが、伊原氏にとっても比較的新しい言葉なのだ。

このような過程からコンピュータ・フォレンジックに興味を持ち始めた伊原氏であったが、最初は関連ドキュメントの少なさに愕然としたという。もともと、コンピュータがらみの犯罪捜査において用いられる手法である関係上、その詳細は当然捜査機関の極秘事項扱いとなっており表に出て来ない。最近でこそ、少しずつ関連書籍が出版されてきたが、書籍や情報の少ない中での伊原氏の苦労は推して量ることができる。PacketStorm等で公開されている情報などを頼りに、様々な情報を集めていったとのことだ。

そもそも、コンピュータ・フォレンジックとは？

さて、ここまで読んでいただいた読者の方には、コンピュータ・フォレンジックとは一体何なのだ、という疑問を持たれた方、あるいは、耳にしたことはあるけれど、正確な定義を知りたいという方も多いだろう。筆者はその疑問をそのまま伊原氏にぶつけてみた。「コンピュータ・フォレンジックとは何ですか？」と。

氏から帰ってきた言葉は意外なものであった。「私がそれを定義するなんておこがましいですよ。敢えて定義を求められる場合は、いつも東京電機大学の佐々木良一先生の定義をお借りしています。」

コンピュータの世界では、往々にして適切でないと思われる訳語がそのまま使われてしまうことも多い。そういう意味では、伊原氏自身が用語定義を行い、業界に混乱をきたすことの無いようにという配慮を含んだ、非常に謙虚な回答だといえる。また、氏自身もそういった日本語訳に振り回された経験があるのかもしれない。

とはいえ、ここではやはりコンピュータ・フォレンジックの定義を書いておかないわけにはいかない。@policeからの引用になるが、以下に佐々木氏による定義を記しておく。

「計算機科学などを利用して、デジタル世界の証拠性を確保し、法的問題の解決を図る手段。ログの改ざん、破壊等、これまでの手法では証拠を検出することが困難な被害を受けたコンピュータに対しても、高度なツールによってコンピュータ内のデータを調査・分析することにより、不正アクセスの追跡を行う手段を含む」

要するに、攻撃を検知し応急処置をした後に、証拠となるデータを保全し、
1)　どのような被害を受けたのか
2)　どこから進入を受けたのか
3)　誰が侵入者なのか
等を分析し、その後の訴訟に備えようとする一連の活動のことを指す、と言えるだろう。

ネットエージェントとの協業の経緯

話が少しそれてしまったので、本題に戻そう。実は伊原氏は、フォレンジックに関しては昨年までは業務よりも学習の方に多く時間を割いていた。それくらい、特殊かつ高度な技術が求められる世界だというわけだ。また、日本におけるコンピュータ・フォレンジックの実態もあまり華々しいものではないようだ。確かに警察はある程度のノウハウを持っているが、それでも殺人犯のメールの内容をHDDから再現するといった程度のもののようで、企業に対するサイバー犯罪に対応できるかどうかは、正直わからないとのことだ。

伊原氏は昨年、米国でコンピュータ・フォレンジックの講師トレーナーとしてのトレーニングを受けている。しかし、一人だけでは事業として成り立たないと感じていたとき、ネットエージェントの杉浦氏より取締役就任の打診があった。杉浦氏と伊原氏は、コンピュータセキュリティ関連のイベントを通じて知り合い、ビジネスとは別に、既に4年から5年の個人的付き合いがあるのだというが、さすがにその打診があった今年3月には、突然だったこともあり、非常に驚いたそうだ。

一方のネットエージェント代表取締役の杉浦氏の真意は以下の通りだ。ネットエージェントが組織的に安定してきたことから、事業拡大のチャンスを日々考えていたところ、ある日、セキュリティの世界では個人事業的な形で活躍する有能な人材が多く眠っていることに気づいた。実際、かく言う杉浦氏も、もともとその一人。自ら開発したPacket Black Holeを事業の柱として会社を成長させてきたという経歴を持つ。そして、そういった人材に、組織として活躍できる場を提供することが大きなビジネスの可能性を秘めていると考えたという。

コンピュータ・フォレンジックの仕事は一人では受け切れないことをうすうす感づいていた伊原氏は、杉浦氏からの打診に驚きつつもそれを快諾した。その理由はいくつかあるが、
・「コンピュータ・フォレンジックで一番になる！」との杉浦氏の言葉
・コンピュータ・フォレンジックのみで専門化されている会社は非常に少ない
・何より自らの能力を思う存分発揮できる場所がみつかった
以上が、取締役就任を引き受けた理由であるとのことだ。

お互いが相互補完できる関係に

結果として、杉浦氏、伊原氏の両者が、お互いに一人では手が回らないところをおさえられるようないい関係を築くことができそうだという。どのように、両氏の才能が補完しあうのかは、次稿でネットエージェント社の業務戦略と共に触れていく予定だが、ここで簡単に述べておこう。

実は杉浦氏開発のPacket Black Holeはネットワーク上を流れるデータを全て記録するという意味で、ネットワーク・フォレンジック装置の一種であるということができる。ネットワーク上で起こった出来事の証拠保全を行う装置だ。ただし、それぞれのホストで何が起こっているのか、そこまで探りを入れることはできない。ここを補完するのが、コンピュータ・フォレンジックの専門家である伊原氏という事になる。ここに、今回の両氏の協力関係の真の強みがあると言えるだろう。

次回は、日本のコンピュータ・フォレンジックの現状と、ネットエージェント社の今後の事業展開について触れていく予定である。