フォレンジック調査ユースケース 番外編③
今回のコラムでは不正行為を発見した時の初動対応というテーマでお話したいと思います。
関連記事
【コラム】社内不正対応に有効なヒアリングとフォレンジックの順序
デジタル・フォレンジック調査を行いたいとなったとしても、調査を行えない場合もあります。それは……続きを読む
社内不正が発覚後のNG行為
デジタル・フォレンジック調査において一番やってはいけない対応としては、「対象機器(原本データ)を直接触る」ことだと思います。
すでに以前の「③データ保全」のコラムでも説明させていただきましたが、デジタルデータは揮発性が高く改編が容易なものなので、誤った操作をしてしまい意図せずデータの上書きや削除ということが発生してしまう危険性があります。
関連記事
【コラム】デジタル・フォレンジック作業の解説③「データ保全」
今回は「データ保全」について解説したいと思います。ヒアリングによって特定したフォレンジック調査対象の機器に対して、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。……続きを読む
あるお客様の失敗談ですが、対象者が使用していたPCを社内調査して証拠となるデータを見つけたのだが、操作を誤って上書き保存してしまったためにファイルの日時情報が更新されてしまい証拠として扱えなかったというケースや、重要なメールデータを消去してしまったというケースを聞いたこともあります。
このようなアクシデントを防ぐためにも不正行為を発見した時の初動対応として「データ保全」が重要になってきます。
また調査対象者自身が自分の不正行為が調査されるかもしれないと気付いて、意図的なデータ消去を行う可能性もあるので、迅速な初動対応が重要となってきます。
POINT
社内不正の疑いが発覚したら、対象のPCやスマホなどの端末を安易に触らない。
- 操作を誤ってデータを上書き保存してしまう。
- 重要な証拠となるデータを削除してしまう。
- 対象者が調査に気がついてデータを削除してしまう。
普段から社内の不正調査の備えを
平時からの対応として、社内の情報システム部門と連携してデータの棚卸を行ったり、メールシステムやファイルサーバなどのシステム仕様を把握しておくことも大切です。
もし不正行為を発見してデジタル・フォレンジック調査を行いたいとなったとしても、メールサーバには過去半年分のメールデータしか残っていないのでそれより古いデータは調査ができないというケースや、メールサーバからメールデータを取り出す方法が分からず調査着手まで時間がかかってしまったというケールもあります。
有事の際に効率的にデジタル・フォレンジック調査を行うためにも、データがどこに保存されているか、データを取り出す際の社内手続きは整備されているのかなどの情報を平時の段階で確認しておくことが重要となります。
POINT
どんなデータが、どこに、どれくらいの期間保存されているかデータの棚卸しをしておく。また、メールシステムやサーバの仕様についても確認し把握しておく。
社内不正調査の初動対応まとめ
不正行為を発見した時にはすぐに調査をしなければと思って自分たちで直接データを触りたくなってしまうと思いますが、まずはデータ保全を行い原本データと完全一致している複製データを作ることが重要です。
その複製データに対してデジタル・フォレンジック調査を行い、証拠となる重要なデータを見つけていきます。
不正行為があったかもしれないがどのような初動対応を取ればよいか分からない、今後に備えてメールサーバからデータの取り出し方を把握しておきたいという場合にはお気軽にお問い合わせください。
関連記事
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む
TMIプライバシー&セキュリティコンサルティング
首席フォレンジック・エンジニア
デジタルフォレンジックとeDiscoveryサービスを提供する日系ベンダーにて約12年間勤務し、第三者調査委員会対応、コンプライアンス事案における社内調査対応、米国当局調査におけるeDiscovery対応など、多くの日本企業を支援してきた。その後、国内弁護士事務所にてフォレンジックチーム立上げに携わり、第三者調査委員会や内部通報事案においてフォレンジック調査を担当した。常に高いプレッシャーのかかるフォレンジック調査の現場においても、持ち前の冷静さとポーカーフェイスを崩すことなく淡々と仕事を進め、クライアントの要求に120%の対応をすることを信条とする。