確実に証拠を集めよう! 従業員のパソコンをこっそり調べる2つの方法!

アイキャッチ

クリード・コンサルティングの関口です。

今日は、従業員のパソコンを、本人に知られずに、こっそり調べる方法について、お話ししたいと思います。

前回のブログで、従業員のパソコンをどのように調べるか、また、自社で調べる場合と、外注する場合のメリット・デメリットについて説明しました。

ブログ:「従業員のパソコンを調べる5つのポイントと、2つの調べ方を押さえよう!」

「関口さん、パソコンを調べる方法は分かったよ!」 
「でも従業員に知られずに、こっそり調べる方法はないのか?」
「その従業員がデータを削除している可能性があるんだ」
「こっそり調べて確実に、証拠が欲しい、何とか一矢報いたい」

こんな心の声が聞こえてきそうですので、これからこっそり調べる方法を、説明したいと思います。

簡単に言ってしまうと、従業員に知られないよう、こっそりと、「パソコンのコピー(複製)を取ればいい」ということです。

パソコンのコピーを、こっそり取ってしまえば、あとは、そのコピーを持ち帰って、じっくり調べればいいのです。

ただし、windowsの操作による「コピー」では、コピーしたファイルなどの日付などが変わってしまうので、注意が必要です。
日付が変わってしまうと、下記のような状況が起きてしまい、証拠性が薄れる可能性があります。

1.2018年4月30日、営業部の関口が、サーバーにある「設計図」ファイルを、不正にコピーした履歴(ログ)を発見した。

2.営業部の関口のパソコンのコピーを取れば、2018年4月30日にコピーした「設計図」ファイルがあるはずだ。

3.2018年5月15日、営業部の関口のパソコンのコピーを取った。
あれ? 「設計図」ファイルはあったけど、ファイルの日付が、2018年5月15日になってる・・・

また、windowsの「コピー」では、削除されたデータをコピーすることができません。
通常、不正をおこなう人間は、不正の事実を隠すために、パソコンに残っている証拠を削除します。

削除されたデータがコピーできないと、削除されたデータを復元することができなくなります。
削除されたデータの復元について、もっと知りたい方は、下記のページをご参照ください。
FAQ:「よくある質問と回答」

我々のように、フォレンジック調査のサービスを提供している会社では、ファイルの日付などが変わらず、また削除されたデータの復元ができるように、専用の機材を用いて、調べる対象となっているパソコンと、全く同一のコピー(複製)を取ります。

調べる対象となっているパソコンと、同一のコピー(複製)を取ることで、そのパソコンと同じ環境で、調査を行うことが可能となります。
また、コピーする元のデータに、影響を与えることはありません。

したがって、調査対象となっている従業員に、気づかれることなく、こっそりと、調べることが可能となります。

では、どうやって、従業員に気づかれないように、こっそりと、コピーを取ればいいのでしょうか?

以下に、こっそりコピーを取るための、2つの方法について、説明します。

1.深夜・休日にこっそりコピーを取る

深夜休日に作業する

我々のような、フォレンジック調査を行う会社では、従業員が帰社した以降の、深夜や休日に、疑いのある従業員のパソコンのコピーを、こっそりと、取ることがよくあります。

※フォレンジック調査については、前回のブログや、別のページで、説明していますので、そちらをご参照ください。
ブログ:「従業員のパソコンを調べる5つのポイントと、2つの調べ方を押さえよう!」
別ページ:「デジタルデータの調査サービス」

この場合には、その従業員が確実に出勤してこない、時間帯や曜日、日時を選ぶ必要があります。

完全なコピーを取る場合には、使用する機材にもよりますが、ハードディスクの容量が1TBあった場合には、4時間程度はかかるので、その時間を考慮した、時間帯、日時を選びます。

「え! でも、作業中に、その従業員が出勤してきたらどうするの?」と思いますよね!

もちろん、その従業員が出勤してきたら、気づかれてしまいます。
気づかれてしまうと、そのパソコンのコピーは取ることができたとしても、調査していることがバレてしまいます。

その結果、不正行為を止めたり、違う方法に変更したり、不正の証拠をすべてを削除され、その後の調査が進まない可能性もあります。
作業している我々も、立ち合いをする会社側の担当の方も、冷や汗をかきながら作業しています。

その従業員が会社に来ても、パソコンを使えない、仕事ができないような日時を選ぶといいでしょう。
例えば、「会社が入居しているビルの設備点検の日」などです。

また、「会社の社員旅行がある日」や、その従業員が「旅行にいくために、有給休暇を取っている日」などを選べば、確実です。

作業する際には、翌日その従業員が出社してきて、違和感を持たないように、細心注意を払って作業を行います。
パソコンが置かれている場所、ケーブルの位置、マウスの位置、机の上のノートやペンなど、作業前にはすべて写真を撮ります。

不正を行っている人物は、周囲に不正がばれないように、慎重に行動し、物事に過敏になっているので、ペンの位置が数センチずれているだけで、あれ? おかしいな? となる可能性があります。

したがって、深夜や休日などに、こっそりとコピーを取る場合には、「作業中に、疑いのある従業員が出社してきた」など不足の事態に対応できるよう、通常より人数を増やして作業を行います。

2.言い訳をしてうまく回収する

言い訳して回収する

調べる対象のパソコンがノートパソコンで、その従業員が常にノートパソコンを持ち歩いている場合には、何らかの方法で、そのパソコンを回収する必要があります。

不正を行っている人物に勘づかれないような、正当な理由が必要です。

例えば、定期的に「パソコンのメンテナンス」をしていれば、その日時に設定するのが、パソコンを回収する自然な理由になります。

定期的に回収するようなことがなければ、「コンピュータウイルスを調べるため」などは、回収するための、もっともらしい言い訳になります。

もちろん、「社内全体に通知を出して、すべての従業員のパソコンが対象で、すべてのパソコンを回収し、調べる」というように、その従業員のパソコンだけが、対象ではない形式にする必要があります。

まとめ

まとめ

ここまで、疑いのある従業員に知られずに、こっそりと、パソコンを調べる方法について、説明をしました。

もちろん、情報漏えいや情報持ち出しの疑いがあり、本人にパソコンを調べることを通知し、パソコンを回収、コピーを取り、調査を行う、という流れが、通常だと思います。

しかし、必要な証拠を集める前に、証拠となるデータが削除されてしまい、必要な証拠が見つからないというケースがよくあります。

削除されたデータを復元できないように、「完全にデータを削除する」というソフトウェアを使用されてしまうと、フォレンジック調査の専門家であっても、データの復元ができない可能性が高くなります。

その結果、必要な証拠を集めることができなくなり、会社に重大な損害を与える行為を行う、従業員を処分に問えない可能性があります。

したがって、出来るだけ、早い段階で、疑いのある従業員のパソコンのコピーだけでも取っておくと、より確実に調査に必要な集めることが可能となります。

当事務所でも、お客さまの状況に合わせた提案を、行っていますので、必要があればご連絡ください!