WO2011122431A1

WO2011122431A1 - フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム

Info

Publication number: WO2011122431A1
Application number: PCT/JP2011/057141
Authority: WO
Inventors: 守本　正宏
Original assignee: 株式会社Ｕｂｉｃ
Priority date: 2010-03-29
Filing date: 2011-03-24
Publication date: 2011-10-06
Also published as: US8799317B2; CN102696039A; JP4898934B2; US20120246185A1; KR20130018641A; US20140337367A1; EP2509024A1; EP2509024A4; JP2011209930A

Abstract

　特定の者に関係するデジタル文書情報のみを抽出し、訴訟の証拠資料作成のための作業負荷の軽減を図ることができる。　利用者情報に含まれる少なくとも１人以上の利用者から、特定の者を指定し、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出し、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定し、付帯情報に基づき、訴訟に関連する文書ファイルを出力する。

Description

フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム

　本発明はフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムに関し、特に訴訟に関連するデジタル文書情報を収集するためのフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムに関するものである。

　従来、フォレンジックという不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術が提案されている。

　特に、米国民事訴訟では、ｅＤｉｓｃｏｖｅｒｙ（電子証拠開示）等が求められており、当該訴訟の原告および被告のいずれもが、関連するデジタル情報をすべて証拠として提出する責任を負うため、コンピュータやサーバに記録されたデジタル情報を証拠として、提出しなければならない。

　一方、ＩＴの急速な発達と普及に伴い、今日のビジネスの世界ではほとんどの情報がコンピュータで作成されているため、同一企業内であっても多くのデジタル情報が氾濫している。

　そのため、法廷への証拠資料提出のための準備作業を行う過程において、当該訴訟に必ずしも関連しない機密なデジタル情報までも証拠資料として含めてしまうミスが生じやすく、当該訴訟に関連しない機密なデジタル情報を提出してしまうことが問題になっていた。

　近年、フォレンジックシステムに関する技術が、特許文献１および特許文献２に提案されている。特許文献１には、証拠性保持の証明が可能な方法で不正行為者の特定が効率的に実施でき、その特定の信頼性が人的要素に影響され難いフォレンジックシステムについて開示されている。

　また、特許文献２には、個人情報の漏洩による損害に対して保険金を支払う情報損害保険システムであって、犯人の特定及び法的措置という事後対応を行うフォレンジックを損害補填の内容とするフォレンジックシステムについて開示されている。

特開２００６－１７８５２１公報

特開２００７－１４８７３１公報

　しかしながら、例えば、特許文献１および特許文献２のようなフォレンジックシステムでは、特定の者に関連したデジタル文書情報を収集する際には、その者がアクセスすることが可能なデジタル文書情報を特定し、その全ての情報を収集することが可能であるが、その者のアクセス権の設定が広いほど、結果として膨大な情報を収集することとなってしまう。

　また、その者にアクセス権が設定されている情報を全て収集するに際し、その者が組織内での地位が上位である者であると、アクセス権は、広く設定されている傾向にあるため、実際にはその者が閲覧したこともない訴訟とは関連性の無い電子書類が大量に収集されてしまうことになる。

　そのため、その収集した膨大な情報の中から、その者に関係する書類だけを探し出すために分析および確認することは、多大な労力と費用がかかるという問題があった。

　そこで、本発明は、上記事情に鑑み、訴訟に関係する者がアクセス権のある全てのデジタル情報を分析するのではなく、当該関係する者がアクセスをしたデジタル情報を分析するフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムを提供することを目的とするものである。

　本発明のフォレンジックシステムは、複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、取得されたデジタル情報を分析するフォレンジックシステムにおいて、複数の文書ファイルにより構成されるデジタル文書情報と、複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、利用者がサーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得するデジタル情報取得部と、デジタル情報取得部により取得されたデジタル情報を記録する記録部と、記録されたデジタル情報を表示する表示部と、表示部を介して、利用者情報に含まれる少なくとも一人以上の利用者から、特定の者を指定する特定者指定部と、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出するデジタル文書情報抽出部と、表示部を介して、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する付帯情報設定部と、付帯情報に基づき、訴訟に関連する文書ファイルを出力する出力部とを備えたことを特徴とするものである。

　「アクセス履歴情報」とは、複数のコンピュータのいずれかを利用した利用者が、サーバに記録されたデジタル文書情報に対して、アクセスしたことを示すものである。例えば、利用者はだれであるかを示す利用者ＩＤと、どの時期にその利用者がどのデジタル文書情報にアクセスしたかを示すアクセス情報とを含むものである。

　「デジタル情報取得部」は、複数のコンピュータまたはサーバに記録されたデジタル情報を取得するものであって、取得する方法としては、例えば、上記コンピュータまたはサーバに記録されたデジタル情報をある電子媒体にコピーし、当該電子媒体を介してフォレンジックシステムにコピーさせるか、もしくは上記コンピュータまたはサーバと、フォレンジックシステムをネットワーク回線を介して接続し、コンピュータまたはサーバに記録されたデジタル情報をフォレンジックシステムにデジタル情報をコピーする等により、デジタル情報の保全収集を行う。また、この「デジタル情報取得部」は、上記サーバとは異なる第二のサーバに記録された、第二のデジタル文書情報、第二の利用者情報および第二のアクセス履歴情報を含む第二のデジタル情報を取得するものであって、本発明のフォレンジックシステムは、上記デジタル情報のみならず、第二のデジタル情報を用いることができるものであって、第二のアクセス履歴情報に基づいて、第二のデジタル文書情報を抽出するものであってもよい。

　本発明のフォレンジックシステムは、更に、記録されたデジタル文書情報から、複数の文書ファイル毎にテキスト情報を抽出するテキスト情報抽出部と、キーワードを指定するキーワード指定部と、抽出されたテキスト情報に基づいて、指定されたキーワードを含む文書ファイルを検索する検索部とを備え、付帯情報設定部が、検索された文書ファイルに対して、付帯情報を設定することを特徴とするものであってもよい。

　本発明のフォレンジックシステムは、更に、記録部により記録されたデジタル文書情報の文書ファイルを所定のデータ形式に変換するデータ変換部を備え、データ変換部により変換された文書ファイルが、出力部により出力される前までの間、変換されたデータ形式と同一のまま処理されることを特徴とするものであってもよい。

　本発明のフォレンジックシステムは、更に、取得されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データ、または検索されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データを作成する統計データ作成部を備えたことを特徴とするものであってもよい。

　本発明のフォレンジックシステムは、更に改めてデジタル情報を取得する際に、その取得する日時を計時する計時部を備え、デジタル情報は、更にデジタル文書情報を保管するフォルダ情報を備えるものであって、デジタル情報取得部は、以前に計時部により計時された日時より以後に作成された、デジタル文書情報およびフォルダ情報を取得し、該取得されたデジタル文書情報およびフォルダ情報に関連する、利用者情報およびアクセス履歴情報を取得するものであってもよい。

　「サーバ」は、単数以上のサーバであって、例えば、複数のサーバにより構成されるものであってもよい。また、例えば、「サーバ」は、メールサーバ、ファイルサーバ、文書管理サーバのいずれか２つ以上であることを特徴とするものであってもよい。

　本発明のフォレンジックシステムは、複数のフォレンジックシステム用サーバにより構成されるものであって、デジタル情報抽出部と、検索部とがそれぞれ、フォレンジックシステム用サーバに分離されたものであり、更に、分離されたフォレンジックシステム用サーバがネットワークを介して、接続されたものであってもよい。

　本発明のフォレンジックシステムは、付帯情報設定部を複数備えたものであり、異なるオペレータにより付帯情報を設定することができることを特徴とするものである。

　「表示部」は、デジタル情報を表示できるディスプレイ等をいう。また、「記録されたデジタル情報を表示する」というのは、利用者情報、デジタル文書情報、アクセス履歴情報を全て表示してもよいし、それらの情報のうち少なくとも一つを表示してもよいし、それらの情報の属性情報（例えば、利用者の氏名、文書ファイルのファイル名、アクセスした者、時期、文書ファイル等）のうち少なくとも一つを表示してもよい。

　「出力部」は、デジタル文書情報を何らかのプロダクションとして出力するものであって、例えば、プリンタ、デジタル文書ファイル作成装置のいずれかであればよい。

　本発明のフォレンジック方法は、複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、該取得されたデジタル情報を分析するフォレンジック方法において、複数の文書ファイルにより構成されるデジタル文書情報と、複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、該利用者がサーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得するステップと、取得されたデジタル情報を記録するステップと、記録されたデジタル情報を表示するステップと、利用者情報に含まれる利用者から、特定の者を指定するステップと、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出するステップと、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定するステップと、付帯情報に基づき、訴訟に関連する文書ファイルを出力することを特徴とする。

　本発明のフォレンジックプログラムは、複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、該取得されたデジタル情報を分析するフォレンジックプログラムにおいて、コンピュータに、複数の文書ファイルにより構成されるデジタル文書情報と、複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、該利用者がサーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得する機能取得されたデジタル情報を記録する機能と、記録されたデジタル情報を表示する機能と利用者情報に含まれる利用者から、特定の者を指定する機能と、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出する機能と、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する機能と、付帯情報に基づき、訴訟に関連する文書ファイルを出力する機能とを実現させるものである。

　なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、特定の者を指定し、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出し、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定し、付帯情報に基づき、訴訟に関連する文書ファイルを出力することにより、訴訟関係者である特定の者が有するアクセスできる権限の範囲内にある全てのデジタル文書情報を確認することなく、その特定の者がアクセスしたデジタル文書情報のみを抽出し、分析および確認することを可能にする。

　これにより、氾濫するデジタル文書情報の中でも、特定の者に関係するデジタル文書情報のみを抽出し、訴訟の証拠資料作成のための作業負荷の軽減を図ることができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、第二のサーバに記録された第二のデジタル情報を用いることができるものであって、第二のアクセス履歴情報に基づいて、第二のデジタル文書情報を抽出するに際し、複数のサーバに記録された多くのデジタル情報全てを確認することなく、第二のサーバに記録されたデジタル文書情報のうち、特定の者がアクセスしたもののみを抽出し、分析および確認することを可能にする。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、更に、テキスト情報抽出部と、キーワード指定部と、検索部とを備え、付帯情報設定部が、検索された文書ファイルに対して、付帯情報を設定するに際し、サーバに記録されたデジタル文書情報のうち、特定の者がアクセスしたもののみであって、所定の検索により、訴訟に関連する可能性のあるデジタル文書情報の母集団を絞り込むことが可能になる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、データ変換部により変換された文書ファイルが、出力部により出力される前までの間、変換されたデータ形式と同一のまま処理されるに際し、処理フローの中途でのデータフォーマット変換の無駄な工程を削減でき、デジタル文書情報の品質劣化のリスクを排除することができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、更に、統計データ作成部を備えた際に、統計データをオペレータに可視化して提供できるため、訴訟準備に要する労力を早期に把握することができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、更に、デジタル情報取得部は、以前に計時部により計時された日時より以後に作成された、デジタル文書情報およびフォルダ情報を取得し、該取得されたデジタル文書情報およびフォルダ情報に関連する、利用者情報およびアクセス履歴情報を取得するに際し、デジタル情報の差分収集を可能とし、毎回サーバ等から同一のデジタル情報を重複して取得する負荷を軽減することができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、デジタル情報抽出部と、検索部とがそれぞれ、フォレンジックシステム用サーバに分離されたものであるに際し、それぞれのサーバにより各処理部の計算工程を分散することにより、システム全体の処理能力を向上させることができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、付帯情報設定部を複数備えたものである際には、付帯情報設定部は、異なるオペレータにより付帯情報を設定することができることにより、法廷への証拠資料であるか否かの判定を複数人で判定することで早期に準備作業を行うことを可能にする。

本発明の第１の実施形態におけるフォレンジックシステムの構成を表す機能ブロック図本発明のフォレンジックシステムサービスの流れを表す図本発明のフォレンジックシステムの処理フローを表す図本発明の第２の実施形態におけるフォレンジックシステムの構成を表す機能ブロック図

１　　　フォレンジックシステム
２～５　ＰＣ
１０　　サーバ
２０　　デジタル情報取得部
３０　　記録部
４０　　表示部
４５　　表示制御部
５０　　特定者指定部
６０　　デジタル文書情報抽出部
７０　　付帯情報設定部
８０　　テキスト情報取得部
９０　　キーワード指定部
１００　検索部
１１０　データ変換部
１２０　出力部
１３０　統計データ作成部
１４０　計時部
１５０　ＣＰＵ
１６０　制御部

　以下、本発明の実施の形態について、図面を参照しながら説明する。

　図１は、本発明の実施形態におけるフォレンジックシステム１の構成を表す機能ブロック図である。

　図１に示すフォレンジックシステム１は、複数のコンピュータ（ＰＣ２～５）およびサーバ１０に記録されたデジタル情報を取得し、取得されたデジタル情報を分析するフォレンジックシステム１において、複数の文書ファイルにより構成されるデジタル文書情報と、複数のコンピュータ（ＰＣ２～５）またはサーバ１０を利用する利用者に関する利用者情報と、該利用者がサーバ１０に記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得するデジタル情報取得部２０と、デジタル情報取得部２０により取得されたデジタル情報を記録する記録部３０と、記録されたデジタル情報を表示する表示部４０と、表示部４０を介して、利用者情報に含まれる利用者から、特定の者を指定する特定者指定部５０と、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出するデジタル文書情報抽出部６０と、表示部４０を介して、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する付帯情報設定部６０と、付帯情報に基づき、訴訟に関連する文書ファイルを出力する出力部１２０とを備えたものである。

　制御部１６０は、表示制御部４５、デジタル文書情報抽出部６０、テキスト情報取得部８０、管理部８５、検索部１００、データ変換部１１０、統計データ作成部１３０、計時部１４０、ＣＰＵ１５０を備えるものである。

　また、フォレンジックシステム１は、キーボード、マウスまたは表示部４０がタッチパネル機能を備えるときにはタッチパネルなどのデータ入力装置を備え、このデータ入力装置として、特定者指定部５０、付帯情報設定部７０およびキーワード指定部９０がある。

　特定者指定部５０、付帯情報設定部７０およびキーワード指定部９０は、それぞれ別のデータ入力装置であってもよいし、同一のデータ入力装置であってもよい。

　また、出力部７０は、電子媒体にデータを記録する記録装置またはプリンタ等である。

　なお、図１に示すようなフォレンジックシステム１の構成は、補助記憶装置（不図示）に読み込まれたフォレンジックプログラムをコンピュータ上でＣＰＵ１５０により計算・実行することにより実現される。このとき、このフォレンジックプログラムは、ＣＤ－ＲＯＭ等の記憶媒体に記憶され、もしくはインターネット等のネットワークを介して配布され、コンピュータにインストールされるものである。

　以下、本発明の第１の実施形態では、フォレンジックシステム１はパーソナルコンピュータとして説明するが、フォレンジックシステム１は、サーバ、携帯端末型のコンピュータ機等であってもよいし、後述する第２の実施形態のようなネットワーク型のシステム構成であってもよい。

　デジタル情報取得部２０は、利用者が利用していたＰＣ２～５またはサーバ１０に記録されたデジタル情報を取得するものである。

　例えば、デジタル情報取得部２０は、ＰＣ２～５またはサーバ１０に記録されたデジタル情報をある電子媒体（例えば、ＵＳＢ、ＣＤ、ＤＶＤ等）にコピーし、当該電子媒体を介してフォレンジックシステムに、デジタル情報をコピーさせる。

　また、ＰＣ２～５またはサーバ１０と、フォレンジックシステム１とをネットワーク回線を介して接続した場合、デジタル情報取得部２０は、ＰＣ２～５またはサーバ１０に記録されたデジタル情報を、ネットワークを介してデータ送信を受け付けることにより、デジタル情報の保全収集を行う。

　また、デジタル情報取得部２０は、サーバ１０とは異なるサーバ（第二のサーバという）に記録された、第二のデジタル文書情報、第二の利用者情報および第二のアクセス履歴情報を含む第二のデジタル情報を取得するものであってもよい。

　この場合、フォレンジックシステム１は、サーバ１０のデジタル情報のみならず、第二のサーバに記録された第二のデジタル情報を用いることができるものであって、第二のアクセス履歴情報に基づいて、第二のデジタル文書情報を抽出するものであってもよい。

　フォレンジックシステム１は、更に、記録されたデジタル文書情報から、複数の文書ファイル毎にテキスト情報を抽出するテキスト情報抽出部８０と、キーワードを指定するキーワード指定部９０と、抽出されたテキスト情報に基づいて、指定されたキーワードを含む文書ファイルを検索する検索部１００とを備えたものである。

　この付帯情報設定部７０が、検索部１００が検索された文書ファイルに対して、付帯情報を設定するものである。

　フォレンジックシステム１は、更に、記録部３０により記録されたデジタル文書情報の文書ファイルを所定のデータ形式に変換するデータ変換部１１０を備え、データ変換部１１０により変換された文書ファイルが、出力部１２０により出力される前までの間、変換されたデータ形式と同一のまま処理されることを特徴とするものである。

　フォレンジックシステム１は、更に、取得されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データ、また検索部１００により検索されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データを作成する統計データ作成１３０部を備えたものである。

　フォレンジックシステム１は、更に改めてデジタル情報を取得する際に、その取得する日時を計時する計時部１４０を備え、デジタル情報は、更にデジタル文書情報を保管するフォルダ情報を備えるものであって、デジタル情報取得部２０は、以前に計時部１４０により計時された日時より以後に作成された、デジタル文書情報およびフォルダ情報のみを取得し、該取得されたデジタル文書情報およびフォルダ情報に関連する利用者情報およびアクセス履歴情報のみを取得する。

　このデジタル情報は、デジタル文書情報と、利用者情報およびアクセス履歴情報、更にこのデジタル文書情報を保管するフォルダ情報を備えるものであってもよい。

　計時部１４０は、デジタル情報取得部２０によりデジタル情報を取得した際の日時を計算する。

　表示部４０は、制御部１６０に構成される表示制御部４５の指示により表示内容を表示する。

　デジタル情報取得部２０は、ｎ回目（ｎ＝２，３，・・・）にデジタル情報を取得する際、ｎ－１回目にデジタル情報を取得した時点の計時部１４０により計時された日時を表わす情報から、その日時情報より以後にＰＣ２～５またはサーバ１０に作成された、デジタル文書情報およびフォルダ情報のみを取得するものである。その際に、該取得されたデジタル文書情報およびフォルダ情報に関連する、利用者情報およびアクセス履歴情報を更に取得するものであってもよい。サーバ１０は、単数以上のサーバであって、例えば、複数のサーバにより構成されるものであってもよく、少なくともメールサーバ、ファイルサーバ、文書管理サーバのいずれか２つ以上であってもよい。

　フォレンジックシステム１は、更に複数のオペレータが同時に利用できるものであってもよい。

　付帯情報設定部７０は、複数のデータ入力装置により構成されるものであってもよく、その複数の付帯情報設定部７０に対応する複数の表示部４０をそれぞれ用意してもよい。

　そして、複数のオペレータがデジタル文書情報を同時に確認しながら、複数の付帯情報設定部７０を介して、付帯情報を設定することができる。

　出力部１２０は、デジタル文書情報を何らかのプロダクションとして出力するものであって、例えば、プリンタまたは、電子媒体にデジタル情報を記録する記録装置であればよい。

　以下、図２のサービスフローを参照しながら、フォレンジックシステム１の法廷への証拠資料提出のための準備作業を行う手順を簡単に説明する。

　まず、フォレンジックという不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする必要がある。

　そこで、フォレンジックシステム１は、訴訟に関連するデジタル情報を選別し、法廷への証拠資料提出のための準備作業を行うべく、ＰＣ２～５やサーバ１０に記録されたデジタル情報を保全収集（Ｐｒｅｓｅｒｖａｔｉｏｎ）する。

　その後、フォレンジックシステム１は、保全収集したデジタル情報を記録部３０のようなデータベースに登録し、デジタル情報を分析（Ａｎａｌｙｓｉｓ）し、キーワード検索やフィルタ処理により、細分化する。

　この記録部３０は、フォレンジックシステム１のコンピュータに含める構成であってもよいし、コンピュータとは別体としてサーバに保存してもよい。

　そして、フォレンジックシステム１は、細分化したデジタル情報を表示部４０上でレビュー（Ｒｅｖｉｅｗ）し、オペレータが付帯情報設定部７０を介して、デジタル文書情報に対して付帯情報を設定する。

　制御部１６０は、保全収集分析機能、処理分析検索機能、Ｒｅｖｉｅｗ機能、Ｐｒｏｄｕｃｔｉｏｎ機能を有する。

　例えば、制御部１６０の保全収集分析機能は、案件毎のデータ管理が可能となるようにＣａｓｅ管理機能（管理部８５の機能）、対象者・証拠物毎にファイルの種類や所持量の分析ができ、検索対象ファイルの分析も可能とするファイル分析機能（検索部１００の機能）、検索・閲覧対象となるファイルタイプの選択可能とするファイル種類選択抽出機能（デジタル文書情報抽出部６０の機能）、選択したファイルを別ファイルとして保全収集が可能となる保全収集機能（データ変換部１１０）を有する。また、制御部１６０の処理分析検索機能は、全文検索機能と、頻出語句トップ抽出機能を有する（検索部１００の機能）。この全文検索機能は、多言語に対応し、Ｂｏｏｌｅａｎ演算により、ＡＮＤ　ＯＲ　ＮＯＴ検索を可能とし、Ｇｒｏｕｐｉｎｇ演算によりカッコを用いた検索を可能とし、検索した語句のハイライト表示機能、Ｍｅｔａ　Ｄａｔａにする機能等を有する。また、全文検索機能は、高度検索機能を有し、近傍検索や正規表現検索等を可能とする。頻出語句トップ抽出機能は、あるデジタル文書情報内部における頻出語句を抽出するものである。

　また、制御部１６０のＲｅｖｉｅｗ機能は、例えば、Ｅ－ｍａｉｌ　Ｆａｍｉｌｙをまとめて閲覧できるＥ－ｍａｉｌ　Ｆａｍｉｌｙ閲覧処理機能（検索部１００の機能）や、１つの評価または複数の評価を付帯情報として設定されたものを当該評価に基づいて検索できる自由設計Ｔａｇ機能（検索部１００の機能）、階層構造ＢｏｏｋＭａｒｋ設定されたもののＢｏｏｋＭａｒｋ検索を可能とする自由設計ＢｏｏｋＭａｒｋ機能（検索部１００の機能）、任意の文字数入力可能なコメント欄を設けた自由入力コメント欄（管理部８５の機能）、上述した複数のオペレータがデジタル文書情報を確認するための同時閲覧機能、ＲｅＶｉｅｗする際、閲覧者のアカウント毎に、Ｃａｓｅ毎のアクセス権、管理者権限、閲覧のみ権限等の設定可能にしたアクセス権制御機能（管理部８５の機能）、デジタル文書情報の本文に変更を加えずに文書内に書き込みを可能とする文書内書き込みＭｅｍｏ機能（管理部８５の機能）、Ｒｅｖｉｅｗ完了文書数（％）表示を可能とするＣａｓｅ　Ｍａｎａｇｅｍｅｎｔ機能（管理部８５の機能）、Ｅ－ｍａｉｌスレッド（返信、転送等）を一括表示するＥ－ｍａｉｌ　Ｔｈｒｅａｄｉｎｇ機能（管理部８５の機能）、メールのやり取りをグラフィカルに表示するメール分析表示機能（統計データ作成部１３０の機能）、Ｄｒａｆｔ、古いＶｅｒｓｉｏｎ等の類似文書を自動分類して表示する類似文書表示機能（管理部８５の機能）、類似文書の差の部分のみをハイライト表示する類似文書差分ハイライト機能（管理部８５の機能）、検索Ｈｉｔした語句の周辺部分のみを表示する検索Ｈｉｔ部分前後文章表示機能（検索部１００の機能）を有する。

　また、制御部１６０のＰｒｏｄｕｃｔｉｏｎ機能は、実ファイル、メタ情報、Ｔａｇ情報等のＸＭＬ出力、ＣＳＶ出力、画像出力、各種ロードファイル出力の各種出力機能（管理部８５からの指示により、出力部１２０により出力できる機能）、選択された複数のデジタル文書情報の印刷するＢａｔｃｈ　Ｐｒｉｎｔｉｎｇ機能（管理部８５からの指示により、出力部１２０により出力できる機能）を有する。

　最後に、フォレンジックシステム１は、出力部１２０により電子媒体にデータを生成するようにプロダクション（Ｐｒｏｄｕｃｔｉｏｎ）する。例えば、電子媒体にデータを記録する記録装置により、所定のフォーマットのデータ形式により、電子媒体に記録する。

　次に、図３のフローチャートを参照しながら、フォレンジックシステム１の法廷への証拠資料提出のための準備作業を行う手順を詳細に説明する。

　まず、デジタル情報取得部２０は、例えば、Ｗｏｒｄ形式、ＰＤＦ形式、ＰＰＴ形式、Ｅｘｃｅｌ形式のような汎用フォーマットによる文書ファイルからなるデジタル文書情報と、ＰＣ２～５またはサーバ１０を利用する利用者に関する利用者情報と、該利用者がサーバに記録された上記文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得する（ＳＴ１）。

　このアクセス履歴情報は、図１に示すように、サーバ１０に記録されたデジタル文書情報に対して、ＰＣ２～５を利用した利用者が、ネットワークを介してアクセスしたことを示すものであって、例えば、利用者はだれであるかを示す利用者ＩＤと、どの時期にその利用者がどのデジタル文書情報にアクセスしたかを示すアクセス情報である。

　なお、利用者が利用するＰＣ２～５は、例として４台で説明しているが、４台にかぎられたものではなく、複数のＰＣであればよい。

　次に、デジタル情報取得部２０は、取得したデジタル情報を記録部３０に記録する（ＳＴ２）。表示部４０は、制御部１６０を介して、デジタル情報（デジタル文書情報、アクセス履歴情報、利用者情報、デジタル情報のタイトルだけを示す情報等の少なくともいずれかを指す）を表示することができる（ＳＴ３）。

　例えば、表示部４０は、表示制御部４５からの指示に応じて、利用者情報、デジタル文書情報、アクセス履歴情報を全て表示してもよいし、それらの情報のうち少なくとも一つを表示してもよいし、それらの情報の属性情報（例えば、利用者の氏名、文書ファイルのファイル名、アクセスした者、時期、文書ファイル等）のうち少なくとも一つを表示してもよい。

　例えば、オペレータは、表示部４０の画面を確認しながら、フォレンジックシステム１にログインし、更にＣａｓｅ（フォレンジックシステム１のデータベースの最上位のデータグループの単位）を作成する。また、オペレータは、表示部４０の画面を確認しながら、デジタル情報が記録された記録部３０に相当するサーバ等の接続先の設定と管理を行う（この場合、記録部３０は複数存在する）。また、オペレータは、表示部４０の画面を確認しながら、Ｃｕｓｔｏｄｉａｎ（データ保持対象者）の設定をし、管理をする。オペレータは、表示部４０の画面を確認しながら、情報収集および保全収集されたデジタル文書情報から構成されるＴａｒｇｅｔ（フォレンジックシステム１のデータベースの中位のデータグループ単位）の作成と状態管理をする。次に、オペレータは、表示部４０の画面を確認しながら、情報収集および保全収集したＴａｒｇｅｔにＣｕｓｔｏｄｉａｎを関係付けます。

　例えば、オペレータは、表示部４０を確認しながら、ＰＣ２～５またはサーバから取得したデジタル文書情報から構成される複数のＴａｒｇｅｔに対して、どのＣｕｓｔｏｄｉａｎが訴訟に関連したかを予め設定してもよい。

　最後にオペレータは、表示部４０の画面を確認しながら、分析対象のＴａｒｇｅｔを複数または単数選択する。

　このように、制御部１６０は、記録部３０に記録されたデジタル情報を取得し、各種機能部により、デジタル情報を分析することができる。

　フォレンジックシステム１は、記録部３０に記録されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データ、または検索部１００により検索されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データを作成する統計データ作成部１３０を備えている。

　例えば、オペレータは、表示部４０の画面を確認しながら、分析対象のＣｕｓｔｏｄｉａｎとそのＣｕｓｔｏｄｉａｎと対応づいたＴａｒｇｅｔ内から所定のＰａｔｈ（ディレクトリ）を選択し、Ｃｕｓｔｏｄｉａｎ毎のファイル数および容量の分析結果のリストを表示できる。また、オペレータは、表示部４０の画面を確認しながら、Ｐａｔｈ毎のファイル数および容量の分析結果のリストをチャートとして表示できる。更に、オペレータは、表示部４０の画面を確認しながら、Ｐａｔｈ（ディレクトリ）毎のファイル数および容量の分析結果をリスト表示できる。また、オペレータは、表示部４０の画面を確認しながら、Ｆｉｌｅ　Ｔｙｐｅ毎のファイル数および容量の分析結果のリストをチャートとして表示できる。また、オペレータは、表示部４０の画面を確認しながら、Ｆｉｌｅ　Ｔｙｐｅ毎のファイル数および容量の分析結果のリストを表示できる。

　また、オペレータは、表示部４０の画面を確認しながら、Ｆｉｌｅ　Ｔｙｐｅ毎のファイル数および容量の分析結果のリストをチャートとして表示できる。更に、オペレータは、表示部４０の画面を確認しながら、テキスト検索可能なファイルのみをＦｉｌｅ　Ｔｙｐｅ毎のファイル数および容量の分析結果のリストをチャートとして表示できる。このテキスト検索可能なファイルは、予めテキスト情報取得部８０により、記録部３０に記録されたデジタル文書情報からテキスト情報が抽出可能なものに対して行われる。

　次に、オペレータが、特定者指定部５０により、記録部３０に記録されたデジタル情報の利用者情報に含まれる利用者から、特定の者（Ｃｕｓｔｏｄｉａｎ）を指定する（ＳＴ４）。

　オペレータは、表示部４０の画面を確認しながら、Ｃａｓｅ、Ｃｕｓｔｏｄｉａｎ、Ｔａｒｇｅｔを選択する。

　Ｃｕｓｔｏｄｉａｎにアクセス権が設定されているデジタル文書情報をレビュー（確認）するに際し、その者が組織内での地位が上位であるほどアクセス権は、広く設定されていることが多いため、実際にはその者が閲覧したこともない訴訟とは関連性の無い書類が大量に収集されてしまうことになり、その収集した膨大な情報の中から、その者に関係する書類だけを探し出すために分析することは、多大な労力と費用がかかる。

　そこで、デジタル文書情報抽出部６０は、指定された特定の者（Ｃｕｓｔｏｄｉａｎ）に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを抽出することも可能となっている（ＳＴ５）。

　例えば、オペレータが、Ｃｕｓｔｏｄｉａｎである甲氏を指定した場合、選択されたＴａｒｇｅｔ内のデジタル文書情報内で、甲氏がアクセスした文書ファイルのみを抽出する。アクセス履歴情報を用いることにより、甲氏が実際にアクセス（例えば、閲覧、編集、作成）した文書ファイルの抽出が可能となる。アクセス履歴情報は、複数のコンピュータのいずれかを利用した利用者が、サーバに記録されたデジタル文書情報に対して、アクセスしたことを示すものである。例えば、利用者はだれであるかを示す利用者ＩＤと、どの時期にその利用者がどのデジタル文書情報にアクセスしたかを示すアクセス情報とを含むものである。予め、甲氏のコンピュータやサーバ利用時のＩＤ情報と、アクセス履歴情報とが記憶部３０に記録されていることにより、甲氏のＩＤと甲氏がアクセスした文書ファイルとの対応関係を取ることにより、抽出が可能となる。

　なお、甲氏を例に説明したが、甲氏に加え、乙氏など複数のＣｕｓｔｏｄｉａｎを指定した場合、デジタル文書情報抽出部６０は、複数のＣｕｓｔｏｄｉａｎに関連する文書ファイルを抽出することができる。

　また、上述したように、オペレータが、ＴａｒｇｅｔとＣｕｓｔｏｄｉａｎとの関係を設定している場合、あくまでＴａｒｇｅｔ単位でＣｕｓｔｏｄｉａｎとして、関連していると判断し、選択されたＴａｒｇｅｔ内で実際に特定者指定部５０により指定されたＣｕｓｔｏｄｉａｎがアクセスした文書ファイルのみを抽出する。

　更に、オペレータは、検索部１００の機能により、表示部４０の画面を確認しながら、検索を行うことができる。また、オペレータは、表示制御部４５の機能により、表示部４０の画面を確認しながら、簡易閲覧を行うことができる。オペレータは、この簡易閲覧により、デジタル文書情報の内容を把握できる。

　オペレータは、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する（ＳＴ６）。

　具体的には、訴訟に関連する情報であれば、「Ｈｏｔ」、関連する可能性があるものは「Ｒｅｓｐｏｎｓｉｖｅ」とし、関連する可能性がないものは「Ｎｏｔ　Ｒｅｓｐｏｎｓｉｖｅ」として、ファイル毎にタグ（付帯情報）が付与される。具体的には、Ｂａｔｃｈリストのファイル行をクリックするとタグの入力が可能となる。

　そして、オペレータは、出力部１２０から、付帯情報に基づき、訴訟に関連する文書ファイルを出力するように指示する。例えば、Ｈｏｔと付与された文書ファイルのみを出力しもよいし、ＨｏｔおよびＲｅｓｐｏｎｓｉｖｅと付与された文書ファイルを出力してもよい。

　出力部１２０は、付帯情報に基づき、訴訟に関連する文書ファイルを出力する（ＳＴ７）。

　また、フォレンジックシステム１は、複数のフォレンジックシステム用サーバにより構成されるものであって、デジタル情報抽出部と、検索部とがそれぞれ、フォレンジックシステム用サーバに分離されたものであり、更に、分離されたフォレンジックシステムがネットワークを介して、接続されたものであってもよい。

　また、第２の実施形態について、図４を参照しながら、説明する。

　フォレンジックシステム１は、図４に示すような、ネットワーク型のシステム構成であってもよい。第２の実施形態のフォレンジックシステム１は、第１の実施形態で説明したフォレンジックシステム１の各処理部と同様であるが、それぞれの処理部は複数のサーバに分散して配置されている。サーバ間は、ネットワークを介して接続されている。このため、国内にサーバを分散して配置してもよいし、国内外を問わずサーバを分散して配置してもよい。

　なお、表示部４０は、それぞれのクライアントＰＣ１７０～１７２に備わっている。そして、複数のクライアントＰＣとＵＩサーバとの間に、仮想クライアントサーバに一括してデータ送受信をまとめることにより、表示レスポンスの向上を可能とする。

　このようにして、第１の実施形態のようにコンピュータによりフォレンジックシステム１を構成してもよいし、第２の実施形態のようにネットワーク型のシステムによりフォレンジックシステム１を構成してもよい。

　また、フォレンジックシステム１によれば、特定者指定部５０、付帯情報設定部７０およびキーワード指定部９０は、それぞれのクライアントＰＣ１７０～１７２に備わるデータ入力装置が該当する。

　フォレンジックシステム１は、特定の者を指定し、指定された特定の者に関するアクセス履歴情報に基づいて、特定の者がアクセスしたデジタル文書情報のみを区分し、区分されたデジタル文書情報を抽出し、抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定し、付帯情報に基づき、訴訟に関連する文書ファイルを出力することにより、訴訟関係者である特定の者が有するアクセスできる権限の範囲内にある全てのデジタル文書情報を確認することなく、その特定の者がアクセスしたデジタル文書情報のみを抽出し、分析することを可能にする。

　フォレンジックシステム１は、第二のサーバに記録された第二のデジタル情報を用いることができるものであって記第二のアクセス履歴情報に基づいて、第二のデジタル文書情報を抽出するに際し、複数のサーバに記録された多くのデジタル情報全てを確認することなく、第二のサーバに記録されたデジタル文書情報のうち、特定の者がアクセスしたもののみを抽出し、分析および確認することを可能にする。

　フォレンジックシステム１によれば、テキスト情報抽出部８０と、検索部１００とを備え、付帯情報設定部７０が、検索された文書ファイルに対して、付帯情報を設定するに際し、サーバに記録されたデジタル文書情報のうち、特定の者がアクセスしたもののみであって、所定の検索により、訴訟に関連する可能性のあるデジタル文書情報の母集団を絞り込むことが可能になる。

　フォレンジックシステム１によれば、データ変換部１１０により変換された文書ファイルが、出力部１２０により出力される前までの間、変換されたデータ形式と同一のまま処理されるに際し、処理フローの中途でのデータフォーマット変換の無駄な工程を削減でき、デジタル文書情報の品質劣化のリスクを排除することができる。

　フォレンジックシステム１によれば、更に、統計データ作成部１３０を備えた際に、統計データをオペレータに可視化して提供できるため、訴訟準備に要する労力を早期に把握することができる。

　本発明のフォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラムによれば、更に、デジタル情報取得部は、以前に計時部により計時された日時より以後に作成された、デジタル文書情報およびフォルダ情報のみを取得し、該取得されたデジタル文書情報およびフォルダ情報に関連する利用者情報およびアクセス履歴情報のみを取得するに際し、デジタル情報の差分収集を可能とし、毎回サーバ等から同一のデジタル情報を重複して取得する負荷を軽減することができる。

　フォレンジックシステム１によれば、デジタル情報抽出部６０と、検索部１００とがそれぞれ、フォレンジックシステム用サーバに分離されたものであるに際し、それぞれのサーバにより各処理部の計算工程を分散することにより、システム全体の処理能力を向上させることができる。

　フォレンジックシステム１によれば、複数のオペレータが同時に利用できるものである際には、付帯情報設定部７０は、異なるオペレータにより付帯情報を設定することができることにより、法廷への証拠資料であるか否かの判定を複数人で判定することで早期に準備作業を行うことを可能にする。

　以上、本発明について実施形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。

　また第１の実施形態と第２の実施形態のフォレンジックシステム１は、それぞれのシステム全体または、それぞれの各処理部を組み合わせて構成することができる。

Claims

　複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、該取得されたデジタル情報を分析するフォレンジックシステムにおいて、
　複数の文書ファイルにより構成されるデジタル文書情報と、前記複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、該利用者が前記サーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得するデジタル情報取得部と、
　前記デジタル情報取得部により取得されたデジタル情報を記録する記録部と、
　前記記録されたデジタル情報を表示する表示部と、
　前記表示部を介して、前記利用者情報に含まれる少なくとも１人以上の利用者から、特定の者を指定する特定者指定部と、
　前記指定された特定の者に関するアクセス履歴情報に基づいて、前記特定の者がアクセスしたデジタル文書情報のみを抽出するデジタル文書情報抽出部と、
　前記表示部を介して、前記抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する付帯情報設定部と、
　前記付帯情報に基づき、訴訟に関連する文書ファイルを出力する出力部とを備えたことを特徴とするフォレンジックシステム。
　前記デジタル情報取得部は、前記サーバとは異なる第二のサーバに記録された、第二のデジタル文書情報、第二の利用者情報および第二のアクセス履歴情報を含む第二のデジタル情報を取得するものであって、
　前記フォレンジックシステムは、前記デジタル情報のみならず、前記第二のデジタル情報を用いることができるものであって、前記第二のアクセス履歴情報に基づいて、第二のデジタル文書情報を抽出することを特徴とする請求項１記載のフォレンジックシステム。
　前記フォレンジックシステムは、更に、
　前記記録されたデジタル文書情報から、前記複数の文書ファイル毎にテキスト情報を抽出するテキスト情報抽出部と、
　キーワードを指定するキーワード指定部と、
　前記抽出されたテキスト情報に基づいて、前記指定されたキーワードを含む文書ファイルを検索する検索部とを備え、
　前記付帯情報設定部が、前記検索された文書ファイルに対して、付帯情報を設定することを特徴とする請求項１または２記載のフォレンジックシステム。
　前記フォレンジックシステムは、更に、
　前記記録部により記録されたデジタル文書情報の文書ファイルを所定のデータ形式に変換するデータ変換部を備え、
　前記データ変換部により変換された文書ファイルが、前記出力部により出力される前までの間、変換されたデータ形式と同一のまま処理されることを特徴とする請求項１から３いずれか１項記載のフォレンジックシステム。
　前記フォレンジックシステムは、更に、
　前記取得されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データ、または前記検索されたデジタル文書情報のデータ形式毎のデータ容量から表わされる統計データを作成する統計データ作成部を備えたことを特徴とする請求項１から４いずれか１項記載のフォレンジックシステム。
　前記フォレンジックシステムが、更に、
　改めてデジタル情報を取得する際に、その取得する日時を計時する計時部を備え、デジタル情報は、更にデジタル文書情報を保管するフォルダ情報を備えるものであって、
　前記デジタル情報取得部は、以前に前記計時部により計時された日時より以後に作成された、デジタル文書情報およびフォルダ情報を取得し、該取得されたデジタル文書情報およびフォルダ情報に関連する、利用者情報およびアクセス履歴情報を取得するものであることを特徴とする請求項１から５いずれか１項記載のフォレンジックシステム。
　前記フォレンジックシステムは、
　複数のフォレンジックシステム用サーバにより構成されるものであって、
　前記デジタル情報抽出部と、前記検索部とがそれぞれ、フォレンジックシステム用サーバに分離されたものであり、
　更に、前記分離されたフォレンジックシステムがネットワークを介して、接続されたものであることを特徴とする請求項１から６いずれか１項記載のフォレンジックシステム。
　前記フォレンジックシステムは、複数のオペレータが同時に利用できるものであって、
　前記付帯情報設定部は、異なるオペレータにより付帯情報を設定することができることを特徴とする請求項１から７いずれか１項記載のフォレンジックシステム。
　前記出力部は、プリンタ、デジタル文書ファイル作成装置のいずれかであることを特徴とする請求項１から８いずれか１項記載のフォレンジックシステム。
　複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、該取得されたデジタル情報を分析するフォレンジック方法において、
　複数の文書ファイルにより構成されるデジタル文書情報と、前記複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、該利用者が前記サーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得するステップと、
　前記取得されたデジタル情報を記録するステップと、
　前記記録されたデジタル情報を表示するステップと、
　前記利用者情報に含まれる少なくとも１人以上の利用者から、特定の者を指定するステップと、
　前記指定された特定の者に関するアクセス履歴情報に基づいて、前記特定の者がアクセスしたデジタル文書情報のみを抽出するステップと、
　前記抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定するステップと、
　前記付帯情報に基づき、訴訟に関連する文書ファイルを出力することを特徴とするフォレンジック方法。
　複数のコンピュータまたはサーバに記録されたデジタル情報を取得し、該取得されたデジタル情報を分析するフォレンジックプログラムにおいて、
　コンピュータに、
　複数の文書ファイルにより構成されるデジタル文書情報と、前記複数のコンピュータまたはサーバを利用する利用者に関する利用者情報と、該利用者が前記サーバに記録された文書ファイルにアクセスしたことを示すアクセス履歴情報とを含むデジタル情報を取得する機能
　前記取得されたデジタル情報を記録する機能と、
　前記記録されたデジタル情報を表示する機能と、
　前記利用者情報に含まれる少なくとも１人以上の利用者から、特定の者を指定する機能と、
　前記指定された特定の者に関するアクセス履歴情報に基づいて、前記特定の者がアクセスしたデジタル文書情報のみを抽出する機能と、
　前記抽出されたデジタル文書情報の文書ファイルそれぞれが、訴訟に関連するものであるか否かを示す付帯情報を設定する機能と、
　前記付帯情報に基づき、訴訟に関連する文書ファイルを出力する機能とを実現させるためのフォレンジックプログラム。