【コラム】退職者による営業秘密持ち出しの証拠を見つける

フォレンジック調査ユースケース②

今回のコラムでは、退職者による営業秘密情報の持ち出しをユースケースとして、ヒアリング時に確認する事項、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します。

複数のフォレンジック調査結果を組み合わせることで核となる証拠を見つけることができるケースもあります。

  1. 事案の概要
  2. ヒアリング
  3. データ保全
  4. 調査・解析
  5. 報告
  6. まとめ

1.営業秘密持ち出し事案の概要

X社の営業部長であったA氏が昨年退職し、X社の競合であるZ社へ転職した。その後X社の取引先企業から、X社との契約を取りやめZ社と新たに契約することになったという話を受けた。

その後同様にX社からZ社へ契約を切り替えるという取引先が出てきたため、X社はA氏の転職先であるZ社へ営業秘密情報が洩れているのではないかと考え、フォレンジック調査を行いました。

2.ヒアリング

フォレンジック調査を行うために、まずはX社において営業秘密情報がどのように管理されていたのかをヒアリングします。

社内のサーバに保管されているのか、データベース化されているのか、クラウド環境のサーバに保存されているのかなど、情報がどこに保存されているのかをヒアリングしてフォレンジック調査対象機器を選定します。

また併せてコミュニケーションツールについてもヒアリングを行います。

社内及び取引先や外部業者とはメールだけでやり取りをしていたのか、もしくは会社貸与のスマートフォンでチャットのやり取りしていたのか、私物のスマートフォンでやり取りすることはあったのかなどをヒアリングし、フォレンジック調査対象とすべきかどうかを特定します。

今回のX社の場合は、営業秘密情報は社内のサーバではなく、CRM(顧客管理)システムを提供しているベンダーのシステムをクラウド環境で使用しており、そのシステムには会社支給のPC及びスマートフォンからアクセスしていました。

また取引先とはメールでのやり取りを行っていましたが、クラウドストレージを利用して外部業者とデータのやり取りをすることもありました。

またヒアリングでは営業部門においてA氏とのコミュニケーションが多かった社員や、営業に同行する機会が多かった社員についても聞き取りをして、重要な営業秘密情報の種類や、X社とZ社の関係性や市場規模なども確認し、フォレンジック調査による獲得目標や調査方針を策定します。

3.データ保全

X社では退職者のPC及びスマートフォンのデータは退職時にデータ保全を行う規則となっていたため、当時保全していたデータをX社から提供してもらいました。

またメールデータはMicrosoft 365を利用していたため、退職時にアーカイブされているA氏のメールデータを抽出してもらいました。

X社の利用しているCRMシステムには、管理者IDを用いることによりシステムのログ情報を抽出することができ、A氏のアカウントによる操作ログ情報(ログイン・ログオフ情報、ファイルダウンロード情報等)をX社から抽出して提供してもらいました。

4.調査・解析

提供されたデータに対して以下の調査・解析を行っていきます。

①USB接続履歴調査
保全したデータに対して解析用フォレンジックソフトウェアを使用してUSB接続履歴の調査を行います。X社ではPCでのUSB接続を制限していなかったため、A氏が私物のUSBメモリ等にデータを保存していたかどうか確認します。調査の結果、A氏の退職する数か月前から頻繁に特定のUSBメモリが接続されていた履歴が出てきました。このUSBメモリのシリアル番号から、会社管理のUSBメモリに該当のシリアル番号のものは確認できなかったため、A氏の私物のUSBメモリである疑いが出てきました。
②インターネットアクセス履歴調査
保全したデータに対して解析用フォレンジックソフトウェアを使用してインターネットアクセス履歴の調査を行います。クラウドストレージを利用して営業秘密情報を持ち出していたかどうか確認します。調査の結果、疑わしいアクセス履歴は出てきませんでした。
③CRMシステムのログ情報解析
CRMシステムから抽出したA氏の操作ログ情報を解析したところ、休日にもかかわらずA氏がCRMシステムへログインして大量にファイルをダウンロードしていた形跡が確認できました。会社支給のPCは社外へ持ち出しすることは禁止されているため、A氏が私物のPCでCRMシステムへアクセスした疑いが出てきました。
④PCの起動ログ調査
A氏が私物PCでCRMシステムへログインしていたかどうか確認するため、会社支給のPCの起動ログの調査を行います。調査の結果、A氏が休日にCRMシステムへログインしていた時間には、会社支給のPCは起動されていなかったため、A氏が私物のPCでCRMシステムへログインしていた可能性が高まりました。
⑤メールレビュー
A氏のZ社とのメールをレビューしたところ、Z社の営業担当者と頻繁に会食をしていることが判明しました。またその会合の前後のタイミングでUSBメモリを接続していたことと、CRMシステムへログインしてファイルをダウンロードしていたことも判明しました。

5.報告

それぞれのフォレンジック調査結果を突合すると、A氏が退職前にZ社へ営業秘密情報を持ち出していた可能性が高いということをX社へ報告を行いました。

またそれぞれの調査結果と調査報告書をX社へ納品し、それらの調査データをもとにX社はA氏とZ社へさらなる追求をすることにしました。

6.まとめ

退職者による営業秘密情報の持ち出し方法は今回のケース以外にも、様々な方法によるデータの持ち出しが想定されます。

まずはヒアリングを行うことによってどのような方法によって情報が持ち出されたのかを検討し、フォレンジック調査機器を特定し、獲得すべき証拠に応じた適切なフォレンジック調査を実施していきます。

またフォレンジック調査を行った結果を組み合わせて、当初の想定以外のデータ持ち出し経路があるかどうかも調査します。

企業には情報が持ち出されないように社内規定やセキュリティポリシーを整備することとあわせて、日ごろからの情報セキュリティに関する社員への教育や意識向上も必要になってきます。