有事におけるデジタルフォレンジック調査とは

1. はじめに

不正は、発覚時に全容把握が困難で、事実認定・原因解明に時間を要する。上場企業は規制当局への報告や適時開示が必要であり、不祥事対応は世間の評価も厳しいため、迅速かつ的確な調査・対策が求められる。初動対応は調査の方向性を左右する重要な段階だ。この初動対応の一つに、PCや携帯電話などのデジタル機器に残されたデータを有効な証拠として利用するために収集、保全、分析するデジタルフォレンジック調査がある。本稿ではデジタルフォレンジック調査の初動対応の基本と調査で発生し得る問題及びその回避策について解説する。

2. デジタルフォレンジック調査の初動対応

デジタルフォレンジック調査の初動対応では以下の３つが重要である。

1. 調査対象者が利用しているシステム、ツール、デバイスの特定
   調査対象者が利用するシステム、ツール（メール、チャットなど）、デバイス（PC、携帯電話など）を漏れなく列挙し、保存場所・保存期間も確認し、調査対象データと過去に遡って調査できる範囲を特定する必要がある。
2. 調査対象となる可能性のあるデータ・デバイスの保全
   特定したデータやデバイスは速やかに保全する。証拠隠滅防止のため、準備は水面下で行い、関係者も情報管理を慎重に行うべきだ。デバイス等の保全後は、起動や操作をせず、オリジナルデータの更新・毀損を防ぐことが重要である。また、テレワーク環境では仮想デスクトップやVPN、クラウドなどの社内リソースへのアクセスも停止する必要がある。
3. 調査対象データ・デバイスの外部専門家への提供
   デジタルフォレンジック調査では、対象データの分析・レビューは外部専門家の専用ソフトウェアや環境で行うことが多く、会社が保全・抽出したデバイスやデータを外部専門家に提供する必要がある。そのため、データの抽出や受け渡し方法などの具体的な作業手順を事前に外部専門家と確認しておくことが強く推奨される。

3. 初動対応で発生する問題

デジタルフォレンジック調査で生じうる問題は、主に以下のものがある。

1. 会社内で使用されているシステム、ツールが網羅的に把握できていない
   会社の特定部門のみが利用しているクラウドサービスを担当者が把握しておらず、それらが調査対象から漏れるケースがある。調査の過程で漏れが判明すると、追加調査・保全を行うことになる。あるケースでは、調査開始後に調査対象データの漏れがあることが判明したが、不正行為とは無関係の社員がクラウド上のデータを削除したため、不正行為の共犯者として疑われる事態となった。
2. 会社内で使用されているデバイスが把握できていない
   会社の通常運用「１人１台」を前提に情報収集したことで、調査対象のデバイスが漏れることがある。あるケースでは、調査対象者が複数のPCを使用していたことが調査開始後に判明し、追加保全・分析・調査が必要となり、期間延長・コスト増加につながった。結果、追加調査で重要な証拠が発見され、本人証言の虚偽も判明した。もし調査対象デバイスに漏れがあることに気付けなかったら、不正の実態を過小評価してしまう可能性があった。
3. データの抽出手順が把握できていない
   システム部門がサーバやクラウドサービスに保存されたメール等のデータ抽出の手順を把握していないケースも多々ある。システムの仕様上、管理者権限でもデータの一括抽出ができず、システムベンダーに依頼が必要になることもある。しかし、保守契約に該当項目がなく、追加発注が必要になることもあり、見積・稟議・契約・要員手配などで時間的ロスが発生する。

4. 問題を回避する平時の取り組み

上述のような問題を避ける第一歩として、社内のシステム・ツール・デバイスを網羅的に洗い出し、拠点ごとの管理も全社横断で実施することが重要だ。 部門独自で確保しているものや例外運用も含め、全てを管理する必要がある。

データ抽出は、デジタルフォレンジック調査を想定した手順に沿って行うべきだ。定期的な訓練で担当者の習熟度やシステム変更への対応力を高めることが望ましい。

中期的には、訓練で判明した課題を新システム導入時に反映し、初動対応の迅速化を図る。導入後の改修はコストも時間もかかるため、導入時の十分な検討が重要である。

蓄積データの利活用はDX対応にも不可欠だ。システム導入時は、平時と有事両方の利用シーンを具体的にて仕様を検討するべきだろう。

5. おわりに

最後に、デジタルフォレンジック調査の初動対応で確認すべきポイントを整理する。

• 社内システム・ツール・デバイスを網羅的に把握し、容易に取得できる状態か
• データ抽出手順が整理されているか
• 手順に基づいて実作業し、問題がないことを検証されているか
• 検証で判明した問題への対策が実施されているか
• 訓練が定期的に行われ、手順・問題・対策が継続的に更新されているか
• システム導入時に有事対応要件・機能が反映されているか
• フォレンジック専門家とリレーションを持っているか

多くの企業にとって有事対応は不慣れなことだ。デジタルフォレンジック調査では、システム部門だけでなくベンダーとの連携も必要になるため、手順を整理し、定期的な訓練を行うことが推奨される。

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック & クライシスマネジメント　サービス
マネジャー　新谷 和久