内部不正対策における痕跡データは5W1Hなのか？

　組織内に保存されていたデータが外部に流出されてしまう/しまった、といった内部不正対策/内部不正発覚後の調査を実施するためには、ファイルやサーバへのアクセスログ、通信ログ、ユーザの振舞いなど、痕跡データが重要になります。
　このとき、よくいわれるのが5W1Hの痕跡データがあるかということですが、意外と5W1Hではない説明が見受けられます。

　そもそも、5W1Hとは①Who(誰が)、②When(いつ)、③Where(どこで)、④What(何を)、⑤Why(なぜ)、①How(どのように)を指し示す言葉です。ここで、痕跡データからは「Why」は判明しない場合が多いでしょう。また、Where(どこで)というだけでは、犯行現場のこと？ファイルが保存(保管)されていたファイルサーバのこと？ということがよく分かりません。

　そこで、内部不正対策の痕跡データを考える場合は、以下のようなことを考えるのではないでしょうか。

誰が：どのユーザがデータにアクセスしたか。
いつ：対象ユーザがいつデータにアクセスしたか。
どこから：対象ユーザがどこに保管しているデータにアクセスしたか。
どこへ：対象ユーザがデータをどこに流出させたか。
何を：対象ユーザがどのデータにアクセスしたか。
どうやって：対象ユーザはどうやってデータを流出させたか。

　もう一つ忘れがちなのは、流出されたデータは、いつから当該サーバに保管されていたのかということです。これが分からなければ、本当に保存されていた対象データが流出されたのかどうかが判断できません。本当は御組織に対象データはなかったのではないか、流出された後に保存されたのではないか、などと疑われたときのために立証する必要があります。痕跡データに流出されたデータ自体が含まれる場合は少ないため、データ自体がいつから組織内のサーバに保存されていたのかという点も重要になります(もっとも、流出データに当該組織の適切な電子署名が付されていれば、このデータは当該組織のものであったことが推認されるでしょう)。

　そうすると、内部不正対策の痕跡データを考える時の視点は、以下のようになります。

Who(誰が)
When(いつ)
From Where(どこから)
Where(どこへ)
What(何を)
When(当該ファイルはいつから保管されていたのか)
How(どうやって)

　これだと、6W1Hでしょうか？あるいは、5W1H1F？いずれにせよ、このような視点で痕跡データが保存されるように設計しておくのがよいのではないでしょうか。

　さて、これらの痕跡データは全て必須でしょうか？という疑問に対しては「No」ということになります。前述した適切な電子署名のように、他の痕跡データから推認することができれば、上記6W1H(5W1H1F)の痕跡データがそろっていなくても立証できる可能性があります。しかし、あくまでそれらはトータルで見た場合であるため、確実とはいえません。確実というためには、しっかりとした内容のある痕跡データが必要といえるでしょう。