フォレンジックとは? 情報漏えいを調べる時に必須の調査手法を知ろう!

アイキャッチ

クリード・コンサルティングの関口です。

今回は、情報漏えいや情報持ち出しなどの不正の調査で、使用されるフォレンジックについて、お話ししたいと思います。

前回までのブログで、フォレンジックについて、何回かキーワードが出ているので、「フォレンジックとは?」「フォレンジックとは、どういうものなの?」 と思われた方も多いと思います。

前回までのブログは、こちらをご参照ください。

ブログ:「従業員のパソコンを調べる5つのポイントと、2つの調べ方を押さえよう!」
ブログ:「確実に証拠を集めよう! 従業員のパソコンをこっそり調べる2つの方法!」

「フォレンジックとは?」「フォレンジックとは、どういう技術?」「フォレンジックとは、どのように使われているの?」という方のために、簡単に説明しますね!

フォレンジック(forensic)とは、「法廷の」「科学捜査の」という意味で、法的に必要な情報や、不正の証拠を集めるための、手法や手順のことを言います。

一般的に、「デジタルフォレンジック」「コンピュータフォレンジック」と呼ばれています。

「デジタルフォレンジック」「コンピュータフォレンジック」では、パソコンやスマートフォンに残っている情報を分析して、法的な情報や、不正の証拠を集めます。

また、ネットワークフォレンジックという技術もあります。
ネットワークフォレンジックでは、社内のネットワーク上に流れるデータを分析して、不正などを見つける技術のことです。

情報を集める対象物によって、呼び方がそれぞれ異なりますが、フォレンジックとは、デジタルのデータの中から、必要なデータを集めて、分析して、不正の証拠を見つける手法のことです。

必要な証拠を見つけるだけではなく、裁判になった時でも、調査した過程や根拠が説明できるような、調査手法をとります。

このデジタルフォレンジックは、警察による犯罪の捜査や、検察による企業犯罪の調査などで使われており、日本だけでなく、アメリカ、イギリス、ヨーロッパなど、世界中の警察による犯罪捜査や、検察による企業犯罪の調査などで使われている技術です。

殺人事件や誘拐事件などの犯罪のニュースなどで、「警察が現在、犯罪捜査で、容疑者のスマートフォンやパソコンを調査中」「容疑者のスマートフォンやパソコンから、犯罪の証拠となる写真や動画が発見された」というのを目にすることがあります。

ここで使われている技術が、デジタルフォレンジックです。

もちろん、このコンピュータフォレンジックは、企業の不祥事や、不正の調査においても、よく使われる技術です。

例えば、2015年に発覚した東芝の不正会計2017年に発覚したスバルや三菱マテリアルの品質不正などの調査においても、フォレンジックの技術が使われ、不正に関わった疑いのある、役員や従業員のパソコンやスマートフォンから、必要な企業犯罪の証拠が集められているのです。

デジタルフォレンジックの技術を使用して、不正の調査サービスを提供しているのが、我々のようなフォレンジック調査会社になります。

フォレンジック調査のサービスを提供している会社、不正を調査するツールや機材を提供している会社、不正調査の技術を研修などの形で、提供している会社などがあります。

それでは、以下に、「フォレンジックとは、どのような調査なのか?」「フォレンジックとは、どのような流れで進められるのか」「フォレンジックとは、どのような利用メリットがあるのか?」について、説明をしたいと思います。

◆フォレンジックの調査の内容

調査する目的や内容によって、異なりますが、デジタルフォレンジックの調査は、次の3つから、構成されています。

1.データ保全

データ保全について

調査する対象のパソコンから、同一の複製(コピー)を取ることを、データ保全と言います。
同一の複製(コピー)を取る理由は、下記2点です。

1.削除されたデータを復元するため

情報漏えいや情報持ち出しなどの不正を行う人物は、会社のサーバーなどから必要な機密情報を入手したら、パソコンの中に残っている、不正行為の証拠を消していきます。

証拠を消す方法や、会社のシステム環境によっても異なりますが、通常、windowsの操作でデータを「削除」しただけでは、データは消えません。

なぜなら、我々が見ている、パソコンの画面上からは消えているものの、パソコンの中には残っているからです。

データを復元するには、パソコンの画面からは消えているが、「パソコンの中に残っているデータ」もコピーする必要があります。

しかし、windowsの操作による「コピー」では、画面上に見えるデータはコピーできても、この画面上には見えない「パソコンの中に残っているデータ」は、コピーできません。

そのため、調査対象のパソコンと、完全に同一のコピーを行うための、ツールや機材が必要になります。
我々のようなフォレンジック調査会社は、専用の機材を用いて、同一のコピーを取ります。

しかし、「パソコンの中に残っているデータ」はずっと残っているわけではなく、時間の経過とともに、消えていくので、できるだけ早いタイミングで、迅速に、コピーをとる必要があります。

そのため、コピーを取るタイミングが、迅速で、早ければ早いほど、削除されたデータを復元できる可能性が、高くなります。

windowsによるコピーの違いについては、当事務所のFAQにイラスト入りで説明していますので、必要があればご参照ください。
FAQ:「よくある質問と回答」

2.証拠性を保つため

テレビのニュースなどで、殺人事件などの現場が放映されるとき、「たくさん警察がいて、マスコミや一般の人が事件現場に入れないよう、テープで囲っているのをよく見ますよね?」

「その現場を、鑑識の方が、現場の写真を撮ったり、足あとや指紋の採取をしていますね?」

これは、その証拠が消えないように、速やかに、その証拠と同じ状態のものを採取しているわけです。

デジタルフォレンジックにおけるデータの保全も、同じです。

証拠となるパソコンを、関係者以外は触れない状態にして、できるだけ迅速に、データが書き換わらないよう、完全に同一のコピーを取ります。

電源を入れる、文字を入力する、インターネットに接続する、これだけでも、パソコンの中にあるデータがどんどん更新され書き換わり、不正の証拠が消えてしまうので、コピーを取る調査員は、細心の注意を払いながら、かつ迅速に、作業を行います。

2.データ復元

データ復元について

データ復元とは、削除されたデータを復元することです。
データを復元する方法は、下記2点です。

1.市販のソフトウェアを使用する

インターネットや量販店などで、データ復元が可能な、市販のソフトウェアが多く出回っており、使用するライセンス数や復元するファイルの種類にもよりますが、数千円から購入が可能です。

下記に市販のソフトウェアを使用する、メリット、デメリットは下記のとおりです。

<メリット>

  • 金額が安い
  • クリック一つで簡単に復元できる

<デメリット>

  • データが書き換わり、元に戻せない
  • 信頼性に欠ける可能性がある

メリットは、金額が安いことです。
予算がない、社内での簡易的な不正調査で済ませるような場合には、市販のソフトウェアを使用するのが、費用対効果が高いでしょう。

一方、デメリットは、調査対象のパソコンのデータが書き換わり、元に戻せなくなることです。

したがって、市販のソフトウェアを使用する場合には、少なくともデータの完全なコピーを、1枚か2枚、取ることをお勧めします。

また、昨今は、インターネットや量販店で購入できる、復元ツールが、いろいろな会社から多く販売されています。
デジタルフォレンジック調査会社が販売しているツールもあれば、実績がないツール、復元率などの根拠があいまいなツールもあります。

法的な対応を考えていない場合でも、後に別の不正が見つかり、法的な対応を迫られる可能性もあるので、市販のソフトウェアを使用する場合は、実績があり、信頼性の高いツールを選んだ方がいいでしょう。

2.フォレンジック調査会社に依頼する

フォレンジック調査会社に依頼する、メリット、デメリットは下記のとおりです。

<メリット>

  • 信頼性が高い
  • 時間と手間を節約できる

<デメリット>

  • 費用がかかる
  • コミュニケーションのストレスを感じる可能性がある

フォレンジック調査会社に依頼する一番のメリットは、信頼性が高いことです。
法的な処分を検討している場合には、裁判の中で、相手側の弁護士から、調査の信頼性やデータ復元の根拠などについて、問われる可能性もあるので、フォレンジック調査会社に依頼すれば、安心でしょう。

デメリットは、費用がかかることです。
フォレンジック調査会社によっても異なりますが、データ復元(データ保全は除く)だけで、5万円から10万円はかかるでしょう。

依頼先の担当者の経験不足や、相性が悪く、コミュニケーションのストレスを感じる可能性もあります。

また、お金を払って、フォレンジック調査会社に依頼したものの、欲しい証拠が復元できなかった、ケースもあります。
もちろん、その場合には、市販のソフトウェアでも復元はできません。

したがって、専門会社に依頼する場合には、「裁判の可能性」「データ復元の必要性」「データ復元できる可能性」などを事前に検討することをお勧めします。

3.詳細調査

詳細調査について

証拠を集めるための、調査を行います。
代表的な調査について、下記に記載します。

  • キーワード検索
  • パソコンの中にある膨大なデータから、指定のキーワードで検索を行い、必要なデータの絞り込みを行います。

    依頼元の会社から、情報漏えいの可能性がある機密ファイルの名前などを、事前にいただき、それぞれのキーワード又はキーワードの組み合わせで、データの絞り込みを行います。

  • ドキュメント調査
  • 情報漏えいの疑いのあるファイルが、調査対象のパソコン内に存在するかを調べます。
    キーワードで絞り込んだ結果から調べる、ファイルの拡張子(ワード、エクセル、画像(JPEGなど)など)で絞り込んで、漏れがないように網羅的に全件調べる、などの方法で調べます。

  • 外部接続メディアの調査
  • SDカード、USBメモリ、外付けハードディスクなどの外部記憶媒体を、パソコンに接続した履歴を調べます。

  • メール
  • サーバからダウンロードした機密情報を、メールを使って、外部に転送して情報漏えいをしている可能性があるので、送信履歴や転送履歴を調べます。

    また、メールを調べることで、社内にいる可能性がある、協力者や仲間とのやり取りを見つけたり、他の不正を行っている事実を見つけられる可能性があります。

  • インターネットの閲覧履歴
  • インターネットを閲覧した履歴を調べます。

    サーバからダウンロードした機密情報を、グーグルドライブなどのクラウドストレージ、FacebookなどのSNSなどを利用して、情報漏えいしている可能性もあるので、使用した履歴を調べます。

◆フォレンジック調査の流れ

フォレンジック流れ

デジタルフォレンジックの調査は、通常、下記の流れで進められます。

調査の流れは、こちらのページにも記載していますので、詳しく知りたい方は、こちらをご参照ください。

別ページ:「デジタルデータ調査サービス」

1.ヒアリング

お話を伺う前に、事前に、機密保持契約書を交わします。
不正が発生した理由、調査する目的や範囲、処分の方針(法的な対応の有無)などをお伺いします。

その後、調査対象のパソコンやスマートフォンをお預かりします。

2.データ保全

調査の対象となっているパソコンの複製(同一のコピー)を取ります。
コピーを取る際には、「コピー元のデータ」と、「コピー先のデータ」の同一性を確認しながら、作業を行います。
また、いつ、どこで、誰が、どのように、作業したかなどの、作業履歴を残しながら、作業を行います。

3.データ復元

専用のツールを使用して、削除されたデータの復元を行います。
データ復元を行う際には、データ保全で取得したコピーを使用して作業を行います。
これにより、コピー元のパソコンのデータに影響を与えることなく、調査が可能となります。

4.詳細調査

ドキュメントの調査、外部メディア(SDカード、USBメモリなど)の接続履歴の調査、メールの調査などを行い、必要となる証拠を集めます。

5.報告書提出

調査の結果を報告書にまとめて、提出します。
必要に応じて、調査結果の報告会を行います。

まとめ

まとめ

ここまで、「フォレンジックとは何か?」「フォレンジックとは、どこで、どのように使われているのか?」「フォレンジックとは、どのような調査内容なのか」「フォレンジックとは、どのような流れで進められるのか」について、説明しました。

「フォレンジックはよく理解したよ。でも、うちの会社の場合、フォレンジックの調査は必要なのかな?」って思いますよね?

もちろん、法的な対応を検討しておらず、単に社内処分のために、調査を行う場合などは、フォレンジック調査は必要ないかもしれません。

また、対象者のパソコンを調べなくても、ログの履歴やメールの履歴などから、必要な不正の証拠を得られる場合にも、フォレンジック調査を行う必要はないでしょう。

しかし、刑事告訴などの法的な対応を、検討している場合には、フォレンジックの調査を行った方がいいです。
理由は、裁判の中で、調査の過程や根拠を問われる可能性があるからです。

また、大企業や上場企業の場合には、不正の事実が公になった場合に、株主などの利害関係者への説明責任が、発生する可能性があるため、フォレンジックの専門会社に依頼した方が、不正調査の根拠や、客観性を問われた際に、十分な説明を行うことができるでしょう。

これまでの経験から、「調査を行う時点では、法的な対応を考えてなかったけど、不正の範囲が拡大して、法的な対応が必要になった」「市販の復元ソフトウェアを使って、復元を試みたが、うまく復元できなかった」という相談が、多くありました。

したがって、フルコースでのフォレンジック調査は行わない場合でも、少なくとも、データのコピーは取る、または、データのコピーと、データの復元までは、フォレンジック調査会社に依頼し、残りは自社で調査するなど、組み合わせによる調査が有効です。

特に、従業員数十名以下の企業さまでは、営業には直結しない、不正の調査に予算を使うことが難しいケースがあります。
その場合にも、組み合わせによる、調査の方法が有効です。

もちろん、時間と安心を得るなら、フルコースで、フォレンジック調査会社に依頼したほうがいいでしょう。

自社で調査するか、外注するかのメリット・デメリットについては、こちらのブログでも、詳しく説明していますので、必要があれば、ご参照下さい。

従業員のパソコンを調べる5つのポイントと、2つの調べ方を押さえよう!

当事務所でも、お客さまの状況に合わせた、柔軟な提案を行っていますので、必要があればご相談ください!