ヒアリング・調査
目的設定
- 弁護士とのヒアリングを行い調査目的の設定
- フォレンジック調査対象期間や獲得すべき証拠の特定
弁護士とフォレンジックエンジニアとの共同チームを組成し、事案の内容をヒアリングさせていただき、調査のスケジュール・目的・対象機器等について確認します。ヒアリング内容からフォレンジック調査によって獲得すべき証拠を特定し調査方針・調査項目を策定します。
弁護士とのヒアリングを行い調査目的の設定
案件初期の段階から弁護士とフォレンジックエンジニアの共同チームで対応することで、リーガルと技術の双方の観点から事案の内容を把握し、迅速に適切な調査目的を設定します。
フォレンジック調査対象期間や
獲得すべき証拠の特定
ヒアリングした内容から、証拠となるデータが存在すると思われる査対象期間を特定し、どのようなデータを見つけることができれば事案の証拠とすることができるのかを検討します。
ヒアリングから調査目的設定
までの流れ
- お問い合わせ
- お電話やメールにてお問い合わせください。ご相談は無料ですので、お気軽にお問い合わせください。
- ヒアリング
- 電話会議や直接お伺いして担当チームにて調査内容についてヒアリングを実施させていただきます。必要に応じて現地で調査対象機器を確認させていただくことも対応可能です。
ヒアリング項目の確認 - 見積もり提出
- ヒアリングした調査目的・対象機器数等に応じて調査項目を設定し、お見積りを作成します。複数の調査項目がある場合は、段階的に調査を行っていくことも可能です。
- 発注・作業着手
- お見積り内容をご確認いただけたらご発注いただき、作業に着手していきます。作業状況については適宜ご報告いたします。
データ保全
- フォレンジック調査対象機器の特定
- 調査対象機器に対して削除データが復元可能な形式でのデータ保全
- フォレンジックソフトウェアを使用して証拠性を担保
調査対象の機器(Windows PC/Mac/ファイルサーバ/携帯電話/スマートフォン/タブレット端末/クラウド環境etc)に対し、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。一般のコピーとは異なり、現存データだけでなく削除データ・未使用領域・隠し領域も含めたフォレンジックコピーを行い、さらに調査機器のデジタルデータ原本に改変を生じさせることなく完全に同一の形式でのコピーであるという記録も作成します。
フォレンジック調査対象機器の特定
ヒアリング内容に応じてフォレンジック調査対象とする機器を特定します。
調査対象機器に対して削除データが
復元可能な形式でのデータ保全
一般のコピー操作ではコピーできない削除データや未使用領域等も含めたデータ保全を行います。イメージファイル形式でデータ保全を行うことで、専用のフォレンジックソフトウェアを使用しないと保全データの中身を閲覧することはできません。
フォレンジックソフトウェアを使用して
証拠性を担保
専用のフォレンジックソフトウェアを使用することで、調査対象機器の原本データへ一切の改変を加えることなく複製データを作成します。また原本データと複製データそれぞれのハッシュ値を算出しデータの同一性を担保します。
データ保全のイメージ
データ保全の手順
- 調査対象機器の特定
- 調査対象機器は現在も業務で使用されているのか、すでに対象者から預かって保管中なのか、どこの事業所に設置されているのかなど、対象機器の状態を確認します。暗号化やアカウント情報など保全作業に必要な事前情報を確認します。
- 機材準備
- 調査対象機器の種類や台数に応じて必要となるソフトウェアや機材を準備します。現場で調査対象機器が追加されたり事前情報とは異なるケースでも対応できるよう万全の体制で望みます。
- データ保全作業
- 調査対象機器をお預かりしデータ保全作業を実施します。調査対象機器を日中は業務で使用しなければならない場合には、業務終了後に機器をお預かりし、翌朝始業前にご返却することも可能です。保全データは2セット作成し、1つは保全後の調査・解析で使用し、もう1つは保全後は使用せず厳重に保管します。
- 保全作業結果確認、書類作成
- 保全データとログを確認し、問題なく保全作業が完了していることを確認します。原本データと複製データのハッシュ値が一致していることも確認します。調査対象機器の情報や保全作業内容を記録したEvidence Information and Chain of Custody Sheetを作成します。
調査・解析
- 削除データ復元
- 調査対象期間やキーワード検索による絞り込み
- 調査対象機器の操作ログや履歴の抽出
- メールやドキュメントファイルの確認
保全したデータに対して、調査項目にしたがってフォレンジックソフトウェアを用いて解析を行います。メールデータ、Office・PDF系ファイル、画像・動画ファイル、USB接続履歴、Webサイト閲覧履歴、アプリケーション実行履歴、LINE等Chatアプリのメッセージ等を抽出します。PCのごみ箱からも削除されてしまっていたデータについてもフォレンジックソフトウェアで削除データを復元できるケースもあります。PWがかけられたファイルがあった場合にはPW解析を行い、ファイルの中身を確認することもできます。調査に関連するドキュメントをキーワード検索だけでは絞り切れない場合、レビュープラットフォームを使用して弁護士・ドキュメントレビューアーによるレビューを行うことも可能です。
削除データ復元
保全データに対して削除データの復元を行います。複数のフォレンジックソフトウェアを使用することで削除データが復元できる可能性を高めます。
調査対象期間やキーワード検索による絞り込み
ヒアリングによって特定した調査対象期間や、証拠となるデータに含まれるキーワードをもとに検索を行い、データの絞り込みを行います。
調査対象機器の操作ログや履歴の抽出
Web閲覧履歴、USB接続履歴、PCの電源ON/OFFの履歴、アプリケーション実行履歴など調査項目に応じて必要な調査を行います。
メールやドキュメントファイルの確認
キーワードで絞り込んだメールやドキュメントファイルについて、実際に中身の確認を行います。キーワードは含まれているが、事案には関係の無いドキュメントを除外し、証拠に必要なドキュメントを絞り込みます。
調査・解析の手順
- 削除データ復元・パスワード解除
- 削除データの復元やパスワードのかかったメールの添付ファイルについてパスワード解除を行います。添付ファイルの前後のメールからパスワードと思われる単語を抽出することで、パスワード解除の精度を高めていきます。
- データの抽出・絞り込み
- キーワードだけでなく、メールの送受信日時や送受信者などの情報でも絞り込みを行うことができます。キーワード検索結果はヒットレポートを作成してキーワードごとのヒットしたドキュメント数を確認し、キーワードの調整を行っていきます。
- 操作ログや履歴の抽出
- Web閲覧履歴、USB接続履歴、PCの電源ON/OFFの履歴、アプリケーション実行履歴など調査項目に応じて必要な調査を行います。
- メールやドキュメントファイルの確認・
レビュー - キーワード検索だけでは証拠書類を絞り切れない場合は、パラリーガルや法科大学院生による1stレビューを行いさらなる絞り込みを行います。そこで絞り込んだデータを弁護士による2ndレビューを行い証拠となるデータを特定します。人工知能(AI)を用いてレビュー精度・速度をアップさせます。
報告
- 調査報告書の提出
- 抽出データ納品
- 調査報告会の実施
調査・解析した内容に基づいて調査報告書を作成します。調査報告書には調査対象機器の情報、保全作業の記録、解析結果、解析に使用したフォレンジックソフトウェア情報などが記載されます。また解析結果として復元・抽出したデータについてもUSBメモリや外付けHDDに格納して納品いたします。これらの調査報告書と納品データについて調査報告会を実施することも可能です。
調査報告書の提出
調査対象機器の情報や調査結果など、調査項目に応じた調査報告書を作成いたします。裁判証拠として提出することも可能な形式の報告書となります。
抽出データ納品
復元・抽出できたメールデータやOfficeファイル等のデータを外付けHDDやUSBメモリ等に格納して納品いたします。またWeb閲覧履歴、USB接続履歴などはリスト化して納品いたします。
調査報告会の実施
調査報告書と納品データをもとに、一連のフォレンジック調査内容について直接ご説明させていただくための調査報告会を実施いたします。
ファスト・
フォレンジックサービス
不正兆候の早期発見と内部統制強化に向けた簡易・迅速なフォレンジック調査
サービスの背景と目的
内部不正や営業秘密漏えいといったセキュリティインシデントの増加に対し、平時における簡易・迅速なデジタル・フォレンジック調査を行います。
平時のフォレンジック調査
従来のフォレンジック調査は不正発覚「後」に実施されることが通例でしたが、「兆候のある段階での初動調査」や「定期監査としての簡易調査」が企業の自衛手段として注目されています。
フォレンジック調査の役割
ファスト・フォレンジックは、フォレンジック観点から簡易かつ迅速に調査を行い、内部不正の予兆の把握、ログ取得の習慣化、従業員への抑止効果の確保を図ります。
サービスの背景と目的
平時におけるPC端末の状態を解析し、不正の兆候を分析・レポート作成し、必要に応じてデータ保全を行う簡易かつ迅速なフォレンジックサービス
調査対象の特定
- ノートPC/デスクトップPC(Windows)
- 営業部門・開発部門・退職予定者など選定自由
不審な操作履歴や兆候の検知
- 操作履歴を抽出し、不審な行動を検知
- 調査結果を迅速にまとめレポートを提供
- 必要に応じてPCの証拠保全※を実施
イベントログ解析
PCのログオン/ログオフ履歴を抽出します
WEB閲覧履歴
インターネット閲覧サイトやクラウドサービス系のアクセス履歴を抽出します
USB接続履歴
外部記憶媒体の接続履歴を抽出します
ファイル閲覧履歴
どのようなファイルをいつ開いたのか履歴を抽出します
サマリーレポート
各調査結果を解析し、事案に繋がる可能性のあるログ件数と対象をレポート化します
保全
削除領域も含めたPC全体のデータを保全します
※別途オプションとなります
主な調査内容
データ解析→データ保全
- データ解析→データ保全
- USB接続
- プログラム実行
- 解析実行
- レポート出力
- 保全用ディスク接続※
- 保全実行※
解析対象データ
- ファイル閲覧履歴
- ファイル生成/削除
- WEB閲覧履歴
- USB接続履歴
- イベントログ
- (ログオン/オフ)
- ファイルリスト
検知できる可能性のある事案
- 情報漏洩
- 就業規則違反
- 時間外労働
- 過労
解析結果についてPDFのサマリーレポートと各種データのリストを出力します。
サマリーレポート
- 各種解析結果の期間、件数
- 事案に繋がる可能性のあるログ件数と対策
- ファイル閲覧履歴
- WEB閲覧履歴
- USB接続履歴
- ファイル作成、削除
- イベントログ(ログオン/ログオフ)
- ファイルリスト
ユースケースと活用メリット
平時のフォレンジック調査
- USB接続の痕跡有無
- 内蔵ディスク以外のファイル閲覧
- クラウドサービス系へのWEBアクセス
- 痕跡削除系キーワード("削除","抹消"など)のWEB検索有無
- ファイルの大量削除
従業員の時間外労働・
過労の調査
- ファイルの作成時間
- 深夜のPCログオン/オフ履歴
リモートワーク従業員の
就業規則違反
- WEB閲覧(動画、ギャンプル、アダルト、マンガ等の娯楽系サイトへのアクセス)
- 勤務時間内外の30分以上のスリープ
退職者PCの取り扱いと、
万一の法的対応に備えた準備
- 保全データを保管しておくことで、PC端末の再利用が可能
- 将来的な有事の際には保全データを使用してフォレンジック調査が可能
報酬・費用(TMIP&Sエンジニアによる調査パターン)
TMIP&Sエンジニアによるファスト・フォレンジック調査の費用は端末1台あたり20万円で、追加端末は1台あたり5万円の料金がかかります。
基本費用
- 調査費用:1台20万円 (2台目以降は1台5万円)
- 作業場所:弊社への端末持込もしくは郵送
(PC郵送の際はパソコン宅急便等のご利用を推奨します) - 作業時間:1台あたり半日程度(HDDのサイズ、データボリュームにより変動)
オプションサービス
- ZOOM会議で報告会実施:10万円(1回、1時間)
営業秘密の持ち出しなど不正行為の懸念事由が発見された対象者について、レポートの説明と法的措置を含めたネクストアクションのご相談 - PC保全:1台10万円
不正行為が発見された対象PCについて、より詳細なフォレンジック調査を行うためにPC保全を実施
報酬・費用(ライセンス提供による内製化パターン)
ファスト・フォレンジックは1ライセンスあたり20万円/1年間で、ツールの使用方法やレポートの確認方法などの内製化支援として30万円の料金がかかります。
基本費用
- ライセンス費用:1ライセンス20万円/1年間
- 内製化支援費用:30万円(1回、1.5時間)
- 作業場所:貴社社内
- 作業時間:1台あたり半日程度(HDDのサイズ、データボリュームにより変動)
オプションサービス
- ZOOM会議で報告会実施:10万円(1回、1時間)
営業秘密の持ち出しなど不正行為の懸念事由が発見された対象者について、法的措置を含めたネクストアクションのご相談
