記事一覧
デジタルフォレンジックに関する記事の一覧はこちらから
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか。弁護士・会計士や企業の法務部・監査部・IT部等の一部の方々は耳にしたことがあるかもしれませんが、まだまだよく分からないという方も多いと思います。
近年は、企業の業務のほとんどにパソコンやタブレット、スマホなどの電子機器端末が使用されており、社内で不正の疑いが発生した際には、「デジタルフォレンジック」を用いて証拠を収集するケースも増えました。
そこで今回は、「デジタルフォレンジック」の基本的な解説から、手順や事例、またTMIP&Sフォレンジックの費用例についてもご説明します。
1.デジタルフォレンジックとは
デジタルフォレンジックとは、ある事案における調査の際に、パソコンやスマートフォン、HDDのデジタルデータを調査・分析して捜査や裁判等に必要な情報や証拠を集めることです。
例えば、退職者や転職者が顧客情報や技術情報などの秘密情報を不正に持ち出した場合に、「誰が持ち出したか」「持ち出し経路はどのようなものか」「どの秘密情報が持ち出されたのか」等の事実を調査することになります。
その調査の際にパソコンやスマホ、HDDに入っているデータを調査・解析(復元)をして証拠を収集する技術がデジタルフォレンジックになります。
近年は、特に営業秘密の持ち出しやパワハラ・セクハラなどのハラスメント、また長時間労働などの調査のために弊社にご相談いただくケースが増加しております。
2.デジタルフォレンジックの種類
一口にデジタルフォレンジックと言っても大きく分けて、3つの意味を指します。
(1)不正調査のデジタルフォレンジック
弊社へのご相談も多く、最も一般的なデジタルフォレンジックになります。不正調査のデジタルフォレンジックの活用場面としては、役員や従業員が転職・独立の際に秘密情報など社内データを持ち出して転職先に漏えいさせた疑いがある場合や横領、不正会計、ハラスメントなどの証拠収集が挙げられます。
会社支給や私物のパソコン、スマホ、HDDなどをフォレンジック調査して、証拠となりうるメール、メッセージ、ファイル、画像などを収集していきます。デジタルフォレンジックの技術を用いれば削除したデータも復元が可能ですので、証拠収集に非常に有効です。
(2)サイバー攻撃による情報漏洩などを調査するネットワークのフォレンジック
近年は、ランサムウェアなどのサイバー攻撃が増加しています。このようなサイバー攻撃の被害にあった際に、「どこから侵入され」「どの範囲に被害が及んでいるのか」「どのデータが漏えいしたのか」などをサーバやパソコンなどのネットワークログをもとに調査するのがネットワークのフォレンジックです。
(3)不正行為を防止するためのデジタルフォレンジック
いわゆる「平時のデジタルフォレンジック」と呼ばれるものです。社内データの情報漏えいがあった、もしくは強く疑われる段階でデジタルフォレンジック調査をする場合が多いですが、発見が遅れた場合は、調査や法的対応が難しくなります。そこで、デジタルフォレンジックの技術を使って、定期的に監視を行うのが平時のデジタルフォレンジックです。
関連記事
【コラム】フォレンジック調査のための従業員「退職前」のデータ保全
デジタルフォレンジック調査実施したくともできない場合もあります。それは「データが何も残っていない、すでに消去されてしまっている」という場合です….続きを読む
3.デジタルフォレンジックの進め方
デジタルフォレンジックによる調査は、基本的には、(1)ヒアリングと調査方針の策定、(2)データの保全、(3)データの解析、(4)解析結果の報告の手順で進めていきます。TMIP&Sフォレンジックは、経験豊富なフォレンジック・エンジニアと不正調査、サイバーインシデントレスポンスのエキスパートである弁護士が共同で対応しますので、基本の流れ以外に臨機応変な対応も可能です。
(1)ヒアリングと調査方針の策定
調査内容について事案の概要、関係者、関係者が使用している機器、調査対象の期間などをヒアリングします。このヒアリングで調査によって明らかにしたい項目と調査対象機器を特定していきます。
また、情報システムの担当者にもヒアリングを行い、データの保存形式やデータの抽出方法なども確認します。
(2)データの保全
調査対象機器やデータをお預かりし、データ保全作業を実施します。調査対象機器を日中は業務で使用しなければならない場合には、業務終了後に機器をお預かりし、翌朝始業前にご返却することもあります。また、保全対象機器の台数が多い場合には、1日では終了せずに翌日や翌々日も保全作業を行うケースや、週末を利用してまとめて保全作業を行うケースもあります。
データ保全作業は、調査対象の端末内のデータを完全な形でコピーします。このコピーは、「フォレンジックコピー」と呼ばれるもので、普段のPC操作におけるファイルのコピーとは異なり、ファイルの作成日時や作成者といったプロパティ情報を書き換えることなく同一性が担保された状態でのコピーとなります。
フォレンジックコピーをした保全データは、2セット作成し、1つはデータ保全後の調査・解析で使用し、もう1つは保全後は使用せず厳重に保管します。
企業で使用しているシステムによっては、システム管理者のアカウントでデータを抽出することが可能な場合もあります。その場合には抽出していただいたデータを受領します。データ保全作業は基本的には現地に訪問して作業を行いますが、例えばパソコンの使用者が既に退職しているのでもう使用していないという場合には弊社へパソコン本体を郵送してもらい、弊社内で保全作業を実施することもあります。
(3)データの解析
前述した保全したデータについて、解析を行います。具体的には、下記の作業を進めていきます。
・削除データ復元・パスワード解除
削除データの復元やパスワードのかかったメールの添付ファイルについてパスワード解除をします。パソコン内でごみ箱からも削除されてしまっていたデータについても専用のフォレンジックソフトウェアを用いることで削除データを復元できるケースもあります。
またメールの添付ファイルや圧縮ファイルなどにパスワードがかかっている場合には、メールデータからパスワードと思われる単語を抽出することで、パスワード解除の精度を高めていきます。
・データの抽出・絞り込み
不正の証拠となる可能性のあるデータを抽出する作業になります。キーワードで絞り込むだけでなく、メールの送受信日時や送受信者などの情報でも絞り込みを行うことができます。キーワード検索結果はヒットレポートを作成してキーワードごとのヒットしたドキュメント数を確認し、キーワードの調整を行っていきます。
・操作ログや履歴の抽出
Web閲覧履歴、USB接続履歴、PCの電源ON/OFFの履歴、アプリケーション実行履歴など調査項目に応じて必要な調査を行います。
・メールやドキュメントファイルの確認・レビュー
キーワード検索だけでは証拠書類を絞り切れない場合は、パラリーガルや法科大学院生による1stレビューを行いさらなる絞り込みを行います。絞り込んだデータを弁護士による2ndレビューを行い証拠となるデータを特定します。人工知能(AI)を用いてレビュー精度・速度をアップさせます。
(4)フォレンジック調査結果の報告
これまで行ってきたデータ保全と調査・解析の結果を調査報告書にまとめます。調査報告書には調査対象機器の情報、保全作業の記録、調査・解析で抽出されたデータ、調査・解析に使用したフォレンジックソフトウェア情報などが記載されます。
また調査・解析結果として復元・抽出したデータについてもUSBメモリや外付けHDDに格納して納品します。これらの調査報告書と納品データについて、調査報告会を実施することも可能です。
- ヒアリングと調査方針の策定
- 事案の概要、関係者、関係者が使用している機器、調査対象の期間などのヒアリングを実施。調査の目的を明確にし、調査機器を得てします。
- データの保全
- 調査対象機器やデータをお預かりし、安全な形でデータをコピー、保全を行います。
- データの解析
- 削除データの復元やファイルのパスワード解除、操作ログの抽出します。また、証拠となりうるデータの絞り込みを行い、人の目によるレビューも実施します。
- フォレンジック調査結果の報告
- データ保全と調査・解析の結果を調査報告書にまとめます。報告会のセットも可能です。また、調査・解析の結果であるデータもお渡しします。
4.デジタルフォレンジックの事例
近年では、様々な事案でデジタルフォレンジックが活躍しています。ここでは、いくつかの事例を挙げていきます。
(1)営業秘密など社内データの持ち出し(漏えい)
退職者や転職者が前職の顧客情報、技術情報などの社内データを持ち出して、漏えいさせる事案では、在職中に社内の共有ファイルなどから情報をダウンロードして、プライベートの端末に転送する場合があります。
この場合、パソコンの操作ログや転送時のメールをフォレンジック調査することで証拠を収集できます。
関連記事
退職者による営業秘密情報の持ち出しをユースケースとして、ヒアリング時に確認する事項、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します…..続きを読む
(2)カルテルなどの企業犯罪
カルテルなどの企業犯罪では、犯罪に関与した従業員間や外部関与者との連絡がメールで行われていたり、証拠となる電子ファイルがパソコンや共有サーバー上に残っていたりする場合があります。
このような事案では、関係者のパソコンやサーバー上のデータを保全、解析、レビューを行うことで、有力な証拠を収集することが可能です。カルテルの場合は、関与している人数が多いことがあり、調査対象の端末が数十台規模になることもあります。
(3)過労死やハラスメントなどの労働事件
過労死などの労働事件においては、亡くなった方の勤務実態を解明するため、デジタルフォレンジックを用いて、パソコンの稼働履歴やログ情報、メールの送受信状況を確認します。
また、ハラスメント事案の調査に対してもメールやチャットツールのフォレンジック調査が非常に有効です。
関連記事
上司であるA氏からパワハラを受けたとして、B氏から訴えのあった人事部から、A氏によるB氏へのパワハラの証拠を獲得したいという依頼があり…..続きを読む
(4)横領、不正会計などの不適切な金銭の支出
横領などの不適切な金銭の支出が疑われるような事案においても、デジタルフォレンジックがよく用いられます。
カルテルなどと同様に社内外に共犯者や関係者がいる場合が多く、メールやチャットツールで連絡を取っているので、データが残っている可能性があります。
最近では、Microsoft365などクラウド型のメールシステムを使用している会社も増えており、そのような場合には調査対象者のPCからではなく、メールサーバーから直接メールデータを取得できるので、調査対象者に気づかれることなくデジタルフォレンジック調査を行えます。
5.デジタルフォレンジックの費用
デジタルフォレンジックの調査費用は、調査する端末やサーバの台数や容量によって変動します。TMIP&Sフォレンジックでは、前述したヒアリングをもとに効果的で必要な範囲を調査対象にします。
調査費用の一例として、退職した従業員による営業秘密データの持ち出しがあった場合の費用例を記載します。具体的なご相談や見積をご希望の方は、お気軽に弊社までご連絡ください。
今回の費用例の場合、対象者1名のパソコンのデータを保全しますので、パソコン1台あたり、10万円となります。次に、保全したデータをレビュープラットホームにプロセスをしていきますので、プロセス費用とデータベースでのホスティング費用が発生します。
また、プロジェクトマネジメント費用として、データベースで、キーワード検索 などのデータの絞り込みなどを行うための費用が、作業時間分発生します。大体1ヶ月で調査が終わるとして、ホスティングも1ヶ月とすると、30万円ほどの費用が発生していきます。この30万円に、別途、弁護士費用やレビューアーの方がデータをレビューする費用が発生します。
フォレンジック調査の内容
- 退職した従業員による営業秘密データの持ち出し事案の調査
- 当該従業員1名が使用していたPC1台のフォレンジック調査
- 対象データのレビュープラットフォームホスティング期間は1ヶ月
- データに対する弁護士等のレビュー作業は含まず
| 調査対象・項目 | 台数・容量など | TMIP&S単価 | 費用 |
|---|---|---|---|
| 保全PC台数 | 1台 | 10万円/PC・スマートフォン | 10万円(税別) |
| 保全用HDD | 1枚 | 1万円/1枚 | 1万円(税別) |
| プロセスデータ量 | 10GB | 7,000円/1GB | 7万円(税別) |
| ホスティングデータ量 | 10GB | 2,000円/1GB/1ヶ月 | 2万円(税別) |
| レビュープラットフォームの ユーザーアカウント | 5個 | 0円 ※弊社指定のレビュー プラットフォームの場合 | 0円 |
| プロジェクトマネジメント | 5時間 | 2万円/1時間 | 10万円(税別) |
合計 | 30万円(税別) |
6.調査は専門家に相談する
デジタルデータは揮発性が高く改編が容易なので、自社で調査を試みると、誤った操作をしてしまい意図せずデータの上書きや削除ということが発生してしまう危険性があります。
また、そもそも調査をするべきか否かを検討してる間に法的対応も含めた調査後のアクションが難しくなってしまうこともあります。実際に弊社にお問い合わせ頂いた事案でも、早くご連絡頂けていたらより良いアクションが取れるケースも多くあります。
弊社は、弁護士メンバーとも連携して、デジタルフォレンジック調査だけでなく、事案の解決を見据えたアドバイスが可能ですので、お困りの際は是非、お気軽にご連絡ください。