フォレンジック調査ユースケース②

今回のコラムでは、退職者による営業秘密情報の持ち出しをユースケースとして、ヒアリング時に確認する事項、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します。

複数のフォレンジック調査結果を組み合わせることで核となる証拠を見つけることができるケースもあります。

1. 事案の概要
2. ヒアリング
3. データ保全
4. 調査・解析
5. 報告
6. まとめ

１．営業秘密持ち出し事案の概要

X社の営業部長であったA氏が昨年退職し、X社の競合であるZ社へ転職した。その後X社の取引先企業から、X社との契約を取りやめZ社と新たに契約することになったという話を受けた。

その後同様にX社からZ社へ契約を切り替えるという取引先が出てきたため、X社はA氏の転職先であるZ社へ営業秘密情報が洩れているのではないかと考え、フォレンジック調査を行いました。

２．ヒアリング

フォレンジック調査を行うために、まずはX社において営業秘密情報がどのように管理されていたのかをヒアリングします。

社内のサーバに保管されているのか、データベース化されているのか、クラウド環境のサーバに保存されているのかなど、情報がどこに保存されているのかをヒアリングしてフォレンジック調査対象機器を選定します。

また併せてコミュニケーションツールについてもヒアリングを行います。

社内及び取引先や外部業者とはメールだけでやり取りをしていたのか、もしくは会社貸与のスマートフォンでチャットのやり取りしていたのか、私物のスマートフォンでやり取りすることはあったのかなどをヒアリングし、フォレンジック調査対象とすべきかどうかを特定します。

今回のX社の場合は、営業秘密情報は社内のサーバではなく、CRM（顧客管理）システムを提供しているベンダーのシステムをクラウド環境で使用しており、そのシステムには会社支給のPC及びスマートフォンからアクセスしていました。

また取引先とはメールでのやり取りを行っていましたが、クラウドストレージを利用して外部業者とデータのやり取りをすることもありました。

またヒアリングでは営業部門においてA氏とのコミュニケーションが多かった社員や、営業に同行する機会が多かった社員についても聞き取りをして、重要な営業秘密情報の種類や、X社とZ社の関係性や市場規模なども確認し、フォレンジック調査による獲得目標や調査方針を策定します。

３．データ保全

X社では退職者のPC及びスマートフォンのデータは退職時にデータ保全を行う規則となっていたため、当時保全していたデータをX社から提供してもらいました。

またメールデータはMicrosoft 365を利用していたため、退職時にアーカイブされているA氏のメールデータを抽出してもらいました。

X社の利用しているCRMシステムには、管理者IDを用いることによりシステムのログ情報を抽出することができ、A氏のアカウントによる操作ログ情報（ログイン・ログオフ情報、ファイルダウンロード情報等）をX社から抽出して提供してもらいました。

４．調査・解析

提供されたデータに対して以下の調査・解析を行っていきます。

５．報告

それぞれのフォレンジック調査結果を突合すると、A氏が退職前にZ社へ営業秘密情報を持ち出していた可能性が高いということをX社へ報告を行いました。

またそれぞれの調査結果と調査報告書をX社へ納品し、それらの調査データをもとにX社はA氏とZ社へさらなる追求をすることにしました。

６．まとめ

退職者による営業秘密情報の持ち出し方法は今回のケース以外にも、様々な方法によるデータの持ち出しが想定されます。

まずはヒアリングを行うことによってどのような方法によって情報が持ち出されたのかを検討し、フォレンジック調査機器を特定し、獲得すべき証拠に応じた適切なフォレンジック調査を実施していきます。

またフォレンジック調査を行った結果を組み合わせて、当初の想定以外のデータ持ち出し経路があるかどうかも調査します。

企業には情報が持ち出されないように社内規定やセキュリティポリシーを整備することとあわせて、日ごろからの情報セキュリティに関する社員への教育や意識向上も必要になってきます。