17.3.13 データフォレンジクス
データフォレンジクスは、インシデントに関わるデータを識別、抽出、証拠性を明らかにする手段です。
これは、IT資産、電子メール、SharePoint又はその他の電子データとして保持されているデータが対象となります。
データフォレンジクスは、通常はデータの所有者と協議して同意を得たうえで実行されます。データ所有者が同意しない場合又は法的要件若しくはその他の要件によってデータ所有者の同意を求めることができない場合は、以下に示される承認手順を必要とします。
包括的原則として、データフォレンジクスにおいては、PRP1.3.2 互いに尊重しあう職場の実現に向けた基本方針に従うものとします。
データフォレンジクスを実行しようとするインシデントの多くは、関連するデータとIT資産も含め、本質的に慎重に扱うべきものや機密性の高いものです。データフォレンジクス手順は、このプロセス全体を通して、データフォレンジクス活動が調査される情報の客観性、完全性及び真正性を満たす方法で実行されることを保証するものです。
この手続きでは、適切な承認が行われ、関係者の特権が分離され、データへのアクセスはインシデントに関連するもののみに限定されることを要件とします。
リクエスト
データフォレンジクス調査リクエストフォーム(以下本項において「リクエストフォーム」という。)は、データの分析を指示された者(調査担当者)、警察、裁判所又はこれらに準ずる機関が関与する場合は捜査機関に証拠データを提出する責任を負うものが作成しなければなりません。リクエストフォームには、以下の事項を記載してください:
- フォレンジクスを実行する事由
- 調査対象のデータ
- データへのアクセスが必要な期間
- データ所有者に通知し、承認を求めるかどうか(通常の承認手続き)
- そうでない場合は、データ所有者に通知できない又は同意を得られない理由
承認手続き
- データ所有者の承認:
データ所有者は常に最初にデータアクセスへの承認をするように求められるべきです。データ所有者が同意しない場合又はデータ所有者に尋ねることができない場合は、以下の2つの承認手順のいずれかが適用されます。 - 簡易承認がとられる場合について:
- コンプライアンス調査委員会、公的研究費調査委員会又は本調査委員会(PRP第23章)又はその他の委員会(PRP第39章)による内部要請。
- 警察、裁判所又はこれらに準ずる機関による外部からの要請又は命令。
リクエストフォームは下記により承認される場合があります:
- 副学長、ディーン事務局長又はプロボスト
- 統括弁護士
- データ所有者又は学長
上記にかかわらず、調査担当者は承認者を兼ねることはできません。
- その他の場合の承認
その他の場合については、リクエストフォームは以下の承認委員会、統括弁護士及び学長の承認を得なければなりません。
承認委員会は下記により構成されます。- 教授会議長又はその代理人
- 人事担当副学長又はその代理人
- 大学運営に携わる副学長のうち1名とし、関連事項及び利害対立の可能性を考慮し、2名の常任委員が合意の上で選出します。選出は招集後24時間以内とします。
上記のいずれかが調査担当者である場合、その委員は、プロボスト若しくはファカルティ長又はその代理人が承認した他のエグゼクティブにより対応するものとします。
承認委員会は、リクエストへの拒否権、承認権又はリクエストを変更して承認する権限を有します。
検証
CIO又は委任された代理人は、リクエストを受け付け、適切な承認が行われていることを確認します。その後、関連するデータを抽出するためにITディビジョン又は情報セキュリティセクションの担当者を任命します。
ITディビジョン又は情報セキュリティセクションは、必要と判断された場合には、フォレンジクコンサルタントを雇うことができます。
抽出
ITディビジョン、情報セキュリティセクション又はフォレンジクコンサルタントの調査担当者は、暗号化された専用のテンポラリーPCに要求されたデータを抽出し、CIO又は委任された代理人にそれを預けます。
アクセス
CIO又は委任された代理人は、テンポラリーPCと関連するアクセス資格情報を調査担当者に預けます。調査担当者は、データ検索を、例えばメッセージの対象者又は受信者など、リクエストに関連する資料のみに制限します。個人的なコミュニケーションやプライバシー、第3者の権利はできる限り尊重されます。
削除
アクセス期間が終了すると、CIOはテンポラリーPCが返却され、抽出された全ててのデータが確実に消去されるよう徹底します。
報告
CIOは、データフォレンジクス活動の結果と抽出されたデータの削除日を最終報告書にまとめ、学長に提出します。
CIOは毎年、BOG、エグゼクティブ委員会、教授会にて、3つの承認手続きそれぞれにおける申請件数と承認件数を報告します。
ファイリング
リクエストフォームは最終報告とともに情報セキュリティセクションで文書管理されます。
ITセキュリティインシデント対応はここでは扱いませんが、代わりに本章の17.3.12情報セキュリティインシデントの対応で扱います。