Cyber Forensicsにおける技術的アプローチと非技術的アプローチの併用の必要性

サイバー攻撃がなされた場合において，フォレンジックスの専門家と自称する者の多くは電子的な証拠の解析だけにとらわれてしまうかもしれない。とくに技術系出身の者の場合，それしか能力がないのが普通なので，電子的な証拠の解析をするところまでが能力の限界になってしまうことは理の当然というべきだろう。

しかし，普通の裁判における裁判官の判断がそうであるように，物証は，単なる物体に過ぎない。その物体の存在を「あるストーリー」と結び付けているものは，想像力の一種だ。想像である以上，常に主観的であり恣意的であらざるを得ない。
しかし，そのような恣意的な想像なしには，何も判断できない。
だから，憲法は，裁判所の裁判官に対して，権限の行使として恣意的な思考をすることを認めているのだ。
これは，裁判官以外の者が判定する場合でも全く同じように恣意的な判断にならざるを得ないことから，やむを得ない慈善の策として認められているものであり，人間が裁判を担当する限り，これ以上優れた方策はあり得ない。

ところで，サイバー犯罪の痕跡から，それがサイバー犯罪であるかどうかを判定する場合でも全く同じことが起きる。そのことを理解せず，技術的な解析と既知の攻撃パターンとの機械的なマッチングだけで対処しようとすれば，当然，かなり大きな限界にぶち当たることになる。
その壁を乗り越えるのも，やはり判断責任者の主観的・恣意的な「想像」や「解釈」だけとならざるを得ない。これまた必然的に常に生じることであり，それ以外の方策はあり得ない。

そこで，サイバー攻撃の場合であっても，判断プロセスができるだけゆがまないようにするためのセーフガードのようなものが必要になるし，そもそも「判断」とは主観的なものであり，「基本的には何も根拠のないものだ」という自覚をもち，その自覚に基づく「責任感」のようなものを会得することが重要となる。
これは，裁判所の裁判官による判断におけるのと全く同じことだ。
裁判員制度において様々な問題が生ずる最大の原因は，素人である裁判員に対してそのような自覚を持つことを全く期待できないにもかかわらず，ごく一部の頭でっかちで事実を直視することができない観念論者が裁判員制度や陪審制度などを崇拝し信仰にしてしまっているところにある。

それはともかくとして，この関係で面白い記事を見つけた。

　Researchers Seek DNA Of Cyber-Attacks
　Aviation Week: May 5, 2010
　http://www.aviationweek.com/aw/generic/story_generic.jsp?channel=dti&id=news/dti/2010/05/01/DT_05_01_2010_p18-218207.xml

なお，非技術的なアプローチは，攻撃側では随分と昔から採用されている。その中で最も有名なものはソーシャルエンジニアリングだ。単純な技術者に過ぎない攻撃者の攻撃手法は技術的なものに限定されるので，どうしても限界がある。しかし，優れた攻撃者は，技術的能力だけではなく非技術的な能力をも駆使することができる。そして，防御側が技術的な発想しかできない者だけで構成されている場合，戦う前から常に敗北してしまうことが約束されてしまっているということが言えるだろう。