第9話「証拠を残せ ～ログ・監査証跡とフォレンジクス～」

📖 用語まとめ表

さあ、今日もがんばって行きましょう！

用語（略語）	読み方	一言説明	身近な例え
ログ管理	ろぐかんり	システムの操作履歴・通信記録を収集・保管・監視する仕組み	学校の入退出記録。誰がいつ来てどこに行ったかが残る
監査証跡（Audit Trail）	かんさしょうせき／おーでぃっととれいる	「誰が・いつ・何をしたか」を追跡できるように記録した証拠の連鎖	宅配便の追跡番号。どこを経由してきたか全部わかる
タイムスタンプ	たいむすたんぷ	ファイルや操作に「いつ行われたか」を記録した時刻情報	領収書の日付印。「この日に確かに起きた」という証明
NTP	えぬてぃーぴー	Network Time Protocol（ネットワーク タイム プロトコル）。ネットワーク上で時刻を同期させるプロトコル	全員の時計を一つの標準時計に合わせる仕組み
デジタルフォレンジクス	でじたるふぉれんじくす	インシデント発生後にデジタル証拠を収集・解析・保全する技術・手法	犯罪捜査の「指紋採取・DNA鑑定」のデジタル版
揮発性データ	きはつせいでーた	電源を切ると消えてしまうメモリ上のデータ（実行中プロセス・ネットワーク接続など）	砂に書いた文字。波が来る前に急いで写真を撮る必要がある
証拠保全	しょうこほぜん	デジタル証拠を改ざん・破壊されないよう原本のまま確保する手続き	事件現場を立入禁止にして、触らず写真に撮っておくこと
ハッシュ値	はっしゅち	データから計算される固定長の「指紋」。データが1バイトでも変わると全く別の値になる	本の内容を数字1つに圧縮した「要約番号」。改ざんすると番号が変わる
チェーンオブカストディ	ちぇーんおぶかすとでぃ	証拠がいつ・誰によって・どのように扱われたかを記録した管理の連鎖	刑事ドラマで証拠袋に「誰が触ったか」を記録する台帳
ログの完全性	ろぐのかんぜんせい	ログが改ざんされておらず、記録された内容が信頼できる状態であること	日記のページを後から書き換えていないことを証明する仕組み

🔍 結城の偵察

深夜2時。結城はノートPCの画面を見つめながら、ゆっくりとコーヒーカップを置いた。

——ログを消す。それだけのことが、なぜこんなに奥深いのか。

メタCのシステムへのアクセスを試みるたびに、結城は自分の「痕跡」を徹底して消すことを意識していた。IPアドレスはTor（トーア）で隠す——複数の中継サーバを経由して通信を匿名化する仕組みで、発信元を追跡されにくくするものだ。アクセス時刻はランダムにずらす。一度に大量のリクエストは送らない。シグネチャに引っかかるようなパターンは避ける。

しかし最近、気になることがあった。

——佐藤はログをどこまで取っている？

普通のアクセスログなら誤魔化せる。

だが、もしSIEM（シーム）——Security Information and Event Management、複数のログを一元収集して相関分析するシステム——が導入されていたら話が変わる。個々の行動は正常に見えても、パターンとして浮かび上がってしまう。

「……ログの保管期間も調べないといけない」

結城はキーボードを叩きながら、慎也のSNSを別ウィンドウで確認した。今日も里見と一緒の投稿がある。笑顔の写真。メタCのイベントに参加したらしい。

——慎也、あなたは今日も楽しそうにしているのね。

唇を噛む。でも焦ってはいけない。ログに残らない方法で、確実に、少しずつ。それが私のやり方だ。

💬 慎也と里見の会話①

メタCのイベントスペースで、慎也は自分のワールドのデプロイ作業を終えて、ログインしたまま里見のメッセージを眺めていた。

「ねえ里見、さっき佐藤さんが『ログを確認する』って言ってたんだけど、ログって具体的に何を見てるの？」

里見は少し考えてから、柔らかく答えた。

「ログはね、システムの行動記録のこと。誰がいつログインしたか、どのファイルを開いたか、エラーが出たか——そういう全部の記録が時系列で残るんだよ。慎也のワールドにも、アクセスログがあるでしょ？」

「あ、サーバのアクセスログか。見たことはあるけど、なんとなくしか読めなくて……」

「じゃあ、ちゃんと教えてあげる」

里見が慎也の隣に座り直した。その仕草が自然で、慎也はなんとなく照れくさくなった。

「セキュリティで言う『ログ』は、事件が起きたときの唯一の手がかりになるんだよ。佐藤さんが『ログはすべてを語る』ってよく言うのは、本当にそういう意味なんだ」

📘 里見の解説「デジタルの現場検証——ログと証拠保全の仕組み」

ログ管理

「まず『ログ管理』から。ログっていうのは、システムが自動的につけている行動日記みたいなもの。誰が・いつ・何をしたかが全部記録されるの」

「じゃあ不正アクセスがあったときも、ログを見れば誰がやったかわかる？」

「そう。ただし——ちゃんと管理されていれば、ね。ログは取るだけじゃなくて、保管・監視・分析まで含めて『ログ管理』なんだよ。古いログをすぐ消してしまうと、後で調査できなくなるから、どのくらいの期間保管するかも決めておく必要がある」

監査証跡

「あれ、ログと監査証跡って同じじゃないの？」

「いい質問。ログは機械が自動で吐き出す記録全般のこと。監査証跡——Audit Trail（オーディットトレイル）は、そのうち特に『誰が・いつ・何をしたか』を追跡できるように整理した証拠の連鎖を指すんだよ」

「追跡できるように……」

「宅配便の追跡番号を想像してみて。荷物が今どこにあるか、どこを経由してきたかが全部わかるでしょ？ 監査証跡はそれと同じ。操作の連鎖が途切れずに残っていることが重要なんだ」

タイムスタンプとNTP

「次はタイムスタンプ。ファイルや操作に『いつ行われたか』を記録した時刻情報のこと。これがないと、出来事の順番がわからなくなる」

「でも、ログの時刻ってサーバごとに違ったりしない？」

里見が少し嬉しそうな顔をした。

「そこを気にできたのはすごい。そうなの。だからNTP——Network Time Protocol（ネットワーク タイム プロトコル）っていうプロトコルを使って、ネットワーク上の機器の時刻を統一するんだよ」

「全員の時計を合わせるってこと？」

「正確には、NTPサーバという時刻の基準になるサーバに合わせる仕組み。複数のサーバのログを合わせて分析するとき、NTPで時刻が同期されていないと『このログはどっちが先だったの？』ってなってしまう。証拠として信頼できなくなるんだ」

デジタルフォレンジクス

「で、実際にインシデントが起きたとき、ログを使って調べる技術が『デジタルフォレンジクス』。刑事ドラマで現場の指紋を採取したりDNA鑑定したりするでしょ。あのデジタル版だよ」

「ハッカーが侵入したときに、どんな操作をしたか調べる感じ？」

「そう。削除されたファイルの復元、通信ログの解析、マルウェアの解析——証拠になるものを全部集めて、何が起きたかを再現する技術。佐藤さんはこれが得意なんだよ」

慎也は少し驚いた顔をした。

「佐藤さんって普段は落ち着いてるけど、そういう技術も持ってるんだ……」

「だからメタCが安全でいられるんだよ」と里見は微笑んだ。

揮発性データ

「フォレンジクスで一番最初にやることがある。それが『揮発性データ』の保全。揮発性データっていうのは、メモリ上にあるデータのことで——電源を切ると消えてしまうんだよ」

「え、そんなの取れるの？」

「取れる。実行中のプロセス、ネットワーク接続の状態、ログオン中のユーザー情報——こういうものは電源が入っている今この瞬間しか残っていない。砂に書いた文字みたいなもの。波が来る前に急いで写真を撮っておく必要があるんだ」

「じゃあ、インシデントが起きたからって、すぐ電源を切ったらまずい？」

「まずい。まず揮発性データを保全してから、次のステップに進むのがフォレンジクスの鉄則なんだよ」

証拠保全とハッシュ値

「証拠を集めたら、次は『証拠保全』。事件現場を立入禁止にして、触らずに写真に撮っておく——それと同じで、デジタル証拠を改ざん・破壊されないように原本のまま確保する手続きのことだよ」

「でも、デジタルのデータって、コピーしたらわからないんじゃ……」

「そこで使うのが『ハッシュ値』。データから計算される、固定長の『指紋』みたいな数値のこと。データが1バイトでも変わると、全く別のハッシュ値になるんだよ」

「変えたらすぐバレる、ってこと？」

「そう。証拠として保全したデータのハッシュ値を最初に計算しておく。後で『このデータは本物か？』って確認したいときに、もう一度ハッシュ値を計算して一致すれば、証拠が改ざんされていないことが証明できる。これが『ログの完全性』を担保する方法でもあるんだよ」

チェーンオブカストディ

「最後に『チェーンオブカストディ』——日本語にすると『証拠管理の連鎖』って感じかな。証拠がいつ・誰によって・どのように扱われたかを記録した管理台帳のことだよ」

「刑事ドラマで、証拠袋に署名するあれ？」

「まさに。デジタル証拠も同じで、『誰が保全して、誰が解析して、誰が保管しているか』が全部記録されていないと、裁判で証拠能力を否定されてしまうんだ。フォレンジクスって技術の話だけじゃなくて、法的な手続きでもあるんだよ」

慎也は少し圧倒された様子でつぶやいた。

「……セキュリティって、技術と法律が両方絡んでくるんだな」

「そう。だから難しいし、おもしろいんだよ」

⚡ 攻撃の影

メタCのSOCルームで、佐藤は複数のモニターを静かに眺めていた。

——低頻度、低負荷、バラバラなタイムスタンプ。普通の利用者に擬態している。

各ログの個々のエントリは正常に見える。しかしSIEMで複数のログを重ねて見ると、微妙なパターンが浮かび上がっていた。アクセス元はTorの出口ノードに近い帯域。しかも、NTPで統一されていないかのような、わずかな時刻のズレがある。

「……時刻を意図的にずらしているのか、それとも複数の機器から分散しているのか」

佐藤は静かに記録を取り始めた。このアクセスのハッシュ値を保全し、チェーンオブカストディに記録する。まだ証拠として確定できるレベルではない。しかし——確実に、足音が近づいている。

佐藤は里見を呼んだ。

「高瀬さん、このログを見てください。揮発性データも含めて今のスナップショットを保全しておきたい。フォレンジクスの準備をしましょう」

🛡️ チームの対応

里見が佐藤の横に並び、ログを確認した。

「低頻度で時間をずらしてる……。シグネチャには引っかかっていないけど、行動パターンとして見ると確かに変ですね」

「監査証跡として記録を残します。タイムスタンプのズレを正規化して時系列を整理してください。NTPのログも照合して」

里見はすぐに作業を始めた。ハッシュ値を計算し、揮発性データを保全する。メモリのスナップショット、現在のネットワーク接続状態——電源を落とす前に取れるものをすべて取る。

「このIPアドレス、Torの出口ノードと重なる帯域ですね」

「まだ断定はできません。ただ、証拠を完全な形で保全できれば、後で何があっても対応できます」

佐藤は静かにチェーンオブカストディの記録を更新した。誰が・いつ・どのデータに触れたか。これがなければ、どれだけ正確なフォレンジクスをやっても、法的な証拠能力を持たせることができない。

「ログの完全性が担保されていれば、相手がどれだけ痕跡を消そうとしても——消しきれた証拠は残る」

里見はその言葉を聞いて、小さくうなずいた。

後から慎也に報告すると、彼は少し驚いた顔で言った。

「なんか、すごいな……。攻撃する側が見えないつもりでいても、ちゃんと記録が残るんだな」

「残るように、設計しているんだよ」と里見は答えた。

💬 慎也と里見の会話②

SOCルームからメタCの外に出た後、慎也と里見は近くのカフェに寄った。遅い時間だったが、二人ともまだ落ち着かない様子だった。

「なんかさ……今日のこと考えると、ちょっと怖い気持ちになる」

「何が？」

「ログって、全部残ってるじゃないか。俺が何をしたかも、全部どこかに記録されてるんだよな……って」

里見は少し笑った。

「慎也は何か悪いことしてるの？」

「してないけど」

「だったら怖くないよ。ログは、ちゃんと行動している人を守るための記録でもあるんだよ」

慎也は少し考えてから、言った。

「……誰かが侵入を試みてるって言ってたけど、ログがちゃんと残ってれば、その人の行動もいつか全部わかる——ってこと？」

里見は静かに答えた。

「そう。だから証拠保全をきちんとやっておくことが大事なんだよ。佐藤さんが今日やってたのも、まさにそれ。今はまだ断定できなくても、記録が残っていれば、あとから真実を証明できる」

慎也はうなずいた。その「いつか証明できる」という言葉が、なぜか胸に刺さった。

しばらく沈黙が続いた後、慎也がぽつりと言った。

「里見、俺もちゃんとログ残せるように、自分のワールドの設定を見直してみる」

「それを自分から言えるようになったの、すごく成長だよ」

里見が慎也の手に自分の手を重ねた。窓の外では、深夜の街が静かに光っていた。

😤 結城の悔しがり

結城は深夜のモニターを見ながら、静かに歯を噛み締めた。

——NTPか。タイムスタンプのズレを突かれた。

完璧に隠したつもりだった。アクセス元も分散させた。操作のパターンも一般利用者に擬似した。なのに佐藤は気づいた。

——そういうことか。個々のログじゃなくて、パターンで見ていたのね。

フォレンジクスの技術を持った人間が相手だと、「痕跡を消す」だけでは足りない。消した痕跡そのものが証拠になる。ログが不自然に欠けていれば、むしろ疑われる。

結城はノートに書き込んだ。

「時刻の統一。NTPに合わせる。行動パターンの正規化。揮発性データが取られる前に動く」

——でもまだ、本当の意味で攻撃には移っていない。佐藤が持っているのは「怪しい記録」であって、まだ証拠じゃない。

慎也のSNSを再び確認する。今日も里見と一緒にいる。

——ログが全部残る世界で、私が動いている。でも消せない記録がある一方で、消せる記録もある。その境界線を、もっと正確に見極める必要がある。

まだ諦めていない。まだ始まったばかり。