2024年3月14日 16:00〜17:00に開催されたセミナーをコラム化した記事です。アーカイブセミナー本編では、本コラムでは記載していない「質問回答&パネルディスカッション」も収録していますので、是非お申し込みください。
「企業の不正調査実務とフォレンジック」シリーズセミナー
第1回 不正検知時の初動対応とデータの保全、平時からの情報管理、不正検知時の社員の動き方
<セミナー概要>
不正検知時に企業はどのような対応をすべきか? 調査対象メディア ~どんな記録媒体から証拠を収集できるのか?~ 電子情報の取得における範囲、課題およびその対応について解説します。 また、デジタルフォレンジックを活用した平時からの情報管理、メール監査についても解説します。
<無料>
「企業の不正調査実務とフォレンジック」シリーズセミナー セミナーレポート一覧
記事一覧
デジタルフォレンジックに関する記事の一覧はこちらから
目次
1.企業の情報管理についての最近の傾向
まず、平時からの情報管理の重要性についてお話したいと思います。
- IT化、DX化により企業が取り扱うデータ量の増加
- コミュニケーションツールの多様化
- PCメール
- チャット(Teams、Slack等)
- 私物スマートフォン(LINE、SMS等)
- フォレンジック調査を行うことを前提にデータを管理している例は少ない
近年、企業におけるデータ活用が圧倒的に増えています。
20年前は、情報のデジタル化といっても、メールで少しやり取りするくらいであり、紙の書類も多く残っていましたが、電子化・IT化・DX化が進み、業務上取り扱う情報がデジタル化され、そのデータ量が著しく増加しています。
さらに、2020年のパンデミックを契機に、コミュニケーションツールが一気に多様化し、業務上やり取りされるデータ量が爆発的に増加しました。近年では、コミュニケーション手段として、メールだけでなく、Teams、Slack、LINEなどのチャットツールが導入されています。また、デバイスやソフトウェア・サービスとしては業務PCのみならず、私物のスマートフォンやメールアカウントも業務で利用されるようになったことも業務上取り扱うデータ量の増加に拍車をかけています。
このような状況下で、いざデジタル・フォレンジック調査のようなデータ解析を行うことが必要になった際、自社のデータの管理状況が把握できていないケースが多く見られます。
例えば、デジタル・フォレンジック調査を行う際に、データの保存場所やメールサーバーの種類(クラウドサーバーなのか、オンプレサーバーなのか)が法務の方が把握しておらず、IT担当者に逐一確認する必要があるケースも多々あります。
そして、データの所在場所、保存方法、管理方法等を把握するだけで時間がかかり、調査スピードが遅くなってしまうという問題が生じています。
関連記事
企業へのフィッシング詐欺事例とフォレンジック調査について解説
今回のコラムであらためてフィッシング詐欺の事案でのフォレンジック調査を行ったケースについてご紹介したいと思います……続きを読む
2.情報管理におけるデータマッピングの重要性
この平時からの情報管理という観点から必要になってくるのが、データマッピングと呼ばれる工程です。
データマッピングを行うことで、データがどのように保存され、日常的にどのように管理されているかを把握できるため、不正検知から調査開始までの時間を短縮できるというメリットがあります。
この時間短縮のメリットですが、不正行為者にデータを消去して証拠隠滅をはかる時間的余裕を与えないという意味があります。データが消去された場合、復旧に手間がかかったり、そもそも復旧できなかったりする可能性があるので、まずは、不正行為者によるデータ消去を防ぐ必要があります。
また、不正行為者が故意にデータを消去する場合ではなくても、ログや一部のデータは時間の経過とともに失われてしまうことがあります。このことからも、不正検知から調査開始までの時間を短縮することが重要です。
例えば、平時からデータマッピングを行い、メールがクラウドサーバーで管理されていることを把握していれば、インシデント発生時に、メールの保全は、IT部門に依頼してクラウドサーバー上のメールデータを保全するという方針が即座に判断できます。
データマッピングの重要性
- 不正を検知した際に、事案の証拠となりうるデータがどこにあるのか分からないと、調査開始までに時間がかかってしまう
- 調査開始までに時間がかかると、重要なデータを消去・破棄されてしまうおそれもある
フォレンジック調査を行うことを前提とした情報管理体制を構築していくことが望ましい
関連記事
【コラム】リモートワークにおける従業員による残業代「不正請求」
今回のコラムでは、リモートワーク時の従業員による不正な残業代請求をユースケースとして……続きを読む
3.データマッピングの方法〜データの棚卸し
データマッピングとして具体的にどのようなことを行うか、データの棚卸しについて説明します。
(1)保存場所の確認
まず、データがどこに保存されているかを把握します。
- メールデータの場合、サーバーの種類(社内オンプレサーバー/クラウドサーバー)や保存期間を確認します。
- ドキュメントの場合、保存システムの種類(専用システム/ローカルPC)や保存場所を確認します。
- サーバーに保存されているデータの場合、共有サーバーのアクセス権限やデータの保存期間を確認します。
(2)データ取り出しの手続きの確認
データの取り出しに必要な時間や手続きを把握します。
- メールサーバーやドキュメントサーバーからのデータの取り出しをIT部門に依頼する場合、担当部署の判断のみで可能か、何らかの社内手続きが必要かを確認します。
- データ取り出しにかかる時間やデータ形式、取り扱い方法を確認します。
平時からデータの保存場所、取出し手続き、データ形式、取扱い方法を整理しておくことで、迅速なデータ保全が可能になります。
データの棚卸まとめ
- データがどこに保存されているのか
- 社内サーバ
- クラウドサーバ
- データには誰がアクセスできるのか
- データはいつの時点から保存されているのか
- データを取り出す際の社内手続きは整備されているのか
- データはどのように取り出すことができるのか
- データを取り出すのにどれくらいの時間がかかるのか
- データを取り出す際のデータ形式はどうなっているのか
平時の際からどのようなデータが保存されていて、そのデータがどこに保存されているのか所在確認を行うことが重要
4.データマッピングの方法〜紙資料の場合
紙資料がある場合は、デジタルデータと同様に棚卸し確認を行う必要があります。少なくとも外部倉庫に何が保管されているのかを整理しておくことが重要です。
自社のリソースの活用だけで人力で行う方法もありますが、紙媒体の資料を日頃から効率的に管理するために、外部ベンダーや書類管理ソフトウェアを利用して、有事の際に取り出しやすいようにしておくことが重要です。
紙資料のデータの棚卸まとめ
- 過去の情報は紙資料として保管されている場合もデータと同様に棚卸を行う
- 紙資料を外部倉庫に保管されている場合には、紙資料の取り出しに要する時間や、運搬にかかる時間についても確認しておくことが重要
関連記事
近年は、企業の業務のほとんどにパソコンやタブレット、スマホなどの電子機器端末が使用されており、社内で不正の疑いが発生した際には、「デジタルフォレンジック」を用いて証拠を収集するケースも増えました….続きを読む
5.端末とSaaSアカウントの確認の重要性
平時からの情報管理において重要な項目の一つが、端末とSaaSアカウントの確認です。企業が利用許可していない端末やサービスを利用している場合は、下記のようなリスクが伴いますので、きちんと利用端末および利用SaaSアカウントの確認・管理をする必要があります。
(1)保存場所の確認
社内規程で許可された私物端末の使用がなされていないか確認する必要があります。私物端末の不正利用は、例えば会社の端末から私物のパソコンやスマートフォン等の端末にデータを不正に持ち出し、転職先で悪用するなど、不正行為につながる恐れがあります。
また、セキュリティリスクも懸念されます。
会社の業務端末であれば、情報システム部門によって、あらかじめウイルス対策ソフトなどがインストールされており、定期的なアップデートも行われていることが多いですが、個人利用の私物端末では、そもそもウイルス対策ソフトをインストールしていない場合もあり、外部からの攻撃により、意図せず顧客情報など社内の機密情報が漏洩してしまう可能性があります。
(2)SaaSアカウントの確認
業務のIT化に伴い、様々なSaaSが利用されるようになっています。営業情報や顧客情報の管理など、多くの企業がSaaSを活用していますが、情報システム部などが適切にSaaSアカウントを把握・管理する必要があります。
SaaSアカウントを企業が把握・管理できていない場合ですが、例えば、社内規程で使用を許可していないSaaSを、営業部が顧客管理システムとして利用したり、社内コミュニケーション用にチャットツールを不正利用したりするケースがあります。
また、営業情報などへのアクセス権限を持っていた社員が退職後も、アカウントが無効化されずに有効なまま残っていた場合、退職した社員が、退職後も当該アカウントを使って会社の情報にアクセスできてしまう可能性があります。実際に、退職後の社員により顧客情報が漏洩した事例も報告されています。
端末とSaaSアカウントの確認まとめ
- 企業の情報システム部門が把握していない端末やSaaSは利用されていないか
- システムに脆弱性が発見されても適切に対策されない可能性
- 外部からの不正アクセスなどのセキュリティ上のリスク
- 従業員による外部への不正な情報持出しにつながるおそれ
- 社内規定で定められていない機器を使用していないか
- 企業が利用を許可していないSaaSを利用していないか
- 私用メールアドレスを用いて発行したアカウントが利用されていないか
- すでに退職した社員のアカウントが残っていないか
6.社内不正を発見するためのモニタリング
不正の早期発見を目的としたモニタリングについて、説明します。
(1)パソコン操作ログの収集
多くの企業で導入されているパソコン操作ログ収集システムを活用することで、業務時間中に業務に関係ないインターネット閲覧が多いケースなどを検知することができます。また、社内の営業情報システムや顧客情報システムなど、機密情報が保存されているシステムからの大量データダウンロードなどを検知することも可能です。
(2)メール監査
従業員による不正なデータ持ち出しや、取引先との共謀によるキックバックや不正会計などのやり取りがないかどうかを、メール監査システムを用いて確認します。メール監査の2つのパターンとして以下のようなものがあります。
- 全社的な監査システム導入: 全体のメールを対象とした監査を行う方法です。
- スポット監査: 特定の部署や期間を対象とした監査を行う方法です。
スポット監査の実施方法としては、以下のようになります。
- 対象者を選定します。
- IT部門の協力を得て、対象者のメールデータをダウンロードします。
- メールレビューのためのプラットフォームにメールデータをアップロードします。
- レビューを行います。
スポット監査のメリットとしては、初期投資を抑えられることや、対象者を柔軟に変更できることがありますが、最近の傾向としては、営業秘密の持ち出し防止などのために、スポット監査を導入する企業が増加しています。
モニタリングまとめ
- 不正の早期発見のためのモニタリング
- PC内の操作ログを収集するシステムの導入
- 業務時間中に無関係なインターネット閲覧
- 社内システムからの大量ダウンロード
- システムが自動で検知してアラートを出す
- 平時からのメール監査
- 従業員による不正なやり取りやその兆候を早期に発見
- メール監査システムを導入するパターンと、スポットで監査対象者を限定して行うパターン
フォレンジック調査ならTMIP&S
TMI総合法律事務所およびTMIプライバシー&セキュリティコンサルティングでは、メール監査、情報漏えい・営業秘密持ち出し事案の法的対応、フォレンジック調査を提供しております。サービス内容の詳細や費用につきまして、お気軽にお問合せください。
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。
TMI総合法律事務所 弁護士
京都大学理学部にて原子核物理学を専攻し、マサチューセッツ工科大学スローンスクールにてファイナンス&応用経済学修士号を取得。日系大手証券会社と米国系インベストメントバンクにて長年金融デリバティブ部門でキャリアを積んだのち、TMI総合法律事務所に参画。個人情報その他のデータ関係の法務に専門性を有し、各国個人情報保護法に精通する。