【コラム】社内不正を発見した時のNG対応と調査について解説

フォレンジック調査ユースケース 番外編③

記事一覧

デジタルフォレンジックに関する記事の一覧はこちらから

今回のコラムでは不正行為を発見した時の初動対応というテーマでお話したいと思います。

関連記事

【コラム】社内不正対応に有効なヒアリングとフォレンジックの順序
デジタル・フォレンジック調査を行いたいとなったとしても、調査を行えない場合もあります。それは……続きを読む

社内不正が発覚後のNG行為

デジタル・フォレンジック調査において一番やってはいけない対応としては、「対象機器(原本データ)を直接触る」ことだと思います。

すでに以前の「③データ保全」のコラムでも説明させていただきましたが、デジタルデータは揮発性が高く改編が容易なものなので、誤った操作をしてしまい意図せずデータの上書きや削除ということが発生してしまう危険性があります。

関連記事

【コラム】デジタル・フォレンジック作業の解説③「データ保全」
今回は「データ保全」について解説したいと思います。ヒアリングによって特定したフォレンジック調査対象の機器に対して、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。……続きを読む

あるお客様の失敗談ですが、対象者が使用していたPCを社内調査して証拠となるデータを見つけたのだが、操作を誤って上書き保存してしまったためにファイルの日時情報が更新されてしまい証拠として扱えなかったというケースや、重要なメールデータを消去してしまったというケースを聞いたこともあります。

このようなアクシデントを防ぐためにも不正行為を発見した時の初動対応として「データ保全」が重要になってきます。

また調査対象者自身が自分の不正行為が調査されるかもしれないと気付いて、意図的なデータ消去を行う可能性もあるので、迅速な初動対応が重要となってきます。

POINT

社内不正の疑いが発覚したら、対象のPCやスマホなどの端末を安易に触らない。

  • 操作を誤ってデータを上書き保存してしまう。
  • 重要な証拠となるデータを削除してしまう。
  • 対象者が調査に気がついてデータを削除してしまう。

普段から社内の不正調査の備えを

平時からの対応として、社内の情報システム部門と連携してデータの棚卸を行ったり、メールシステムやファイルサーバなどのシステム仕様を把握しておくことも大切です。

もし不正行為を発見してデジタル・フォレンジック調査を行いたいとなったとしても、メールサーバには過去半年分のメールデータしか残っていないのでそれより古いデータは調査ができないというケースや、メールサーバからメールデータを取り出す方法が分からず調査着手まで時間がかかってしまったというケールもあります。

有事の際に効率的にデジタル・フォレンジック調査を行うためにも、データがどこに保存されているか、データを取り出す際の社内手続きは整備されているのかなどの情報を平時の段階で確認しておくことが重要となります。

POINT

どんなデータが、どこに、どれくらいの期間保存されているかデータの棚卸しをしておく。また、メールシステムやサーバの仕様についても確認し把握しておく。

社内不正調査の初動対応まとめ

不正行為を発見した時にはすぐに調査をしなければと思って自分たちで直接データを触りたくなってしまうと思いますが、まずはデータ保全を行い原本データと完全一致している複製データを作ることが重要です。

その複製データに対してデジタル・フォレンジック調査を行い、証拠となる重要なデータを見つけていきます。

不正行為があったかもしれないがどのような初動対応を取ればよいか分からない、今後に備えてメールサーバからデータの取り出し方を把握しておきたいという場合にはお気軽にお問い合わせください。

関連記事

デジタルフォレンジックとは?手順や事例、費用についても解説

皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む