有事におけるデジタルフォレンジック調査の初動対応と発生し得る問題

I. デジタルフォレンジック調査の初動対応

デジタルフォレンジック調査の初動対応で会社がやることで、特に重要なことは以下の３つである。

調査対象者が利用しているシステム、ツール、デバイスの特定
調査対象者が利用しているシステム、ツール（メール、チャット、グループウェアなど）、デバイス（PC、携帯）などを列挙する。この情報によってどのデータを調査対象とするかが決定されるため、漏れが無いように実態を網羅した確認が必要になる。その際にはデータ・デバイスの保存場所、保存期間の確認を行い、デジタルフォレンジック調査をどこまで過去に遡って行えるかを確認することも重要な確認ポイントとなる。

調査対象となる可能性のあるデータ・デバイスの確保
調査対象となる可能性が高いデータ・デバイスの特定後はそれらのデータ・デバイスを速やかに確保することが必要になる。確保に際しては調査対象者がデータ削除などの証拠隠滅を行う可能性を考慮し、準備は水面下で進めることが望ましく、調査対象者以外の関係者にも慎重な対応が必要になる。確保したデバイスについては起動を含めて、原則として一切の操作を行わないことも重要になる。例えばデバイスの起動やファイルを開くといった操作でも、意図せずに重要な手掛かりとなる情報を更新、毀損する可能性があり、デバイスやデータの取り扱いには注意すべき事項が多数存在するためである。一度、オリジナルのデータが更新、毀損されてしまうと、同じ状態に戻すことはできないことを念頭において、確保と保管を行う必要がある。また、近年はテレワークの普及とともに仮想デスクトップ、VPN、クラウドといった社外から社内リソースにアクセスできる仕組みを導入している場合も多く、調査対象者が社内リソースへのアクセスできる仕組みを停止する処置も漏れなく行う必要がある。

調査対象データ・デバイスの外部専門家への提供
一般的にデジタルフォレンジック調査では、調査対象データの分析・レビューは外部専門家の専用ソフトウェア、専用環境で行う場合が多く、会社が確保したデバイスや、会社がサーバから抽出したデータを外部専門家に提供することになる。すでに述べたようにデバイスやデータの取り扱いには注意すべき事項が多数存在するため、抽出や受け渡しの方法などについても、事前に外部専門家と具体的な作業手順を確認することを強く推奨する。

II. 初動対応で発生する問題

不正調査の対応は多くの会社が不慣れなことが多く、デジタルフォレンジックの初動対応が初めてとなる場合もある。そのため、想定していなかった問題の発生や証拠となるデータの毀損などの深刻な事態が発生することがあり、私が経験したことのある問題を３つ挙げて解説する。

会社内で使用されているシステム、ツールが把握できていない
初動段階でシステム、ツール、デバイスの情報を会社側にヒアリングした際に、メールなど会社内で共通して利用しているものは正確に回答いただけたが、特定の部門のみが利用しているクラウドサービスが回答から漏れていたことがあった。このケースでは会社が貸与したスマートフォンを分析した際に、回答になかったアプリが複数インストールされていたことから回答に漏れがあったことが発覚した。発覚後、使用状況を調査し、追加で保全することとなったが、クラウド上で共有されていたデータを調査開始後に他の社員が削除していたことが判明し、その社員が共犯者として疑われることとなった。

会社内で使用されているデバイスが把握できていない
会社側に調査対象者が使用していたPCをヒアリングした際に、複数台使用していたPCのうち、一部が回答から漏れていたことがあった。この調査対象者は複数の現場に跨って業務を行っており、現場ごとにPCを用意していたが、１人１台という会社内での通常の運用方法を前提に情報を収集していたため、一部が漏れてしまった。このケースでは調査が進んだ段階で、回答に漏れがあったことが発覚したため、追加での保全、分析、調査が必要となったため、調査期間延長と調査コスト増加の要因となった。また、調査・分析の結果、重要な証拠が新たに発見され、本人の証言が真実ではないことが判明した。追加での調査が行われなかった場合は不正の実態を過小評価してしまう可能性があった。

データの抽出手順が把握できていない
サーバに保存されているメールなどのデータが調査対象となった場合はデータの抽出をシステム部門に依頼することになるケースが多く、具体的な作業手順をシステム部門にヒアリングすると、作業手順が把握できていないことがある。あるケースではシステムの仕様により、管理者権限をもつシステム部門のアカウントであってもデータを一括で抽出できないということがあった。システムベンダーであれば一括で抽出可能であることが確認できたが、保守契約に該当する項目が無かったため、追加発注が必要となった。そのため、見積、稟議、契約、ベンダー要員手配の期間は保全が中断することになり、迅速さが求められる不正調査では無視できない時間のロスが生じることとなった。

III. 初動対応で発生しうる問題を回避する取り組み

前項で記載した問題を回避する第一歩として、まず取り組みたいことは社内で利用されているシステム、ツール、デバイスの情報の洗い出しである。ポイントとしては、部門で独自で導入しているものや例外的な運用がされていないかなどの観点で、網羅的な洗い出しを行うことである。また、支社や支店など拠点ごとに管理を行っている場合は全社横断的な情報収集が可能かも併せて確認を行う必要がある。

次にデータ抽出時の問題に関しては、デジタルフォレンジック調査を想定した手順の整理と実際に作業を行うことが重要である。実際に作業を行うことで、想定していなかった問題が発見されることがある。この取り組みは現状の仕組みの中でも可能であり、すぐにでも行うべき取り組みである。手順の整理の際には、データの取り扱いに留意すべき事項が多数存在することから、デジタルフォレンジックの外部専門家の助言を受けることも重要である。また、一度ではなく、定期的な「訓練」として行うことで、担当者の習熟度の向上と異動への対策、認識していなかったシステム変更による新たな問題の発見につながることもあるため、定期的に実施することも併せて検討いただきたい。

中期的な取り組みとしてはシステム導入の際に、訓練によって洗い出された問題の改善を機能に反映することである。これはデジタルフォレンジックに対応したシステムを導入することが、初動対応の迅速化につながるためだ。導入時に対応せず、導入した後の改善では追加の費用や時間が必要となり、クラウドサービスやパッケージソフトは改修そのものが行えない場合があるため、システム導入時に十分な検討が必要である。また、デジタルフォレンジックとは異なるが、蓄積されたデータをどのように利用するかという視点は、今後のデジタルトランスフォーメーションへの対応でも欠かすことのできない要素であり、過去に本メールマガジンでも紹介した「有事を想定したインフォメーションガバナンスの要諦」と合わせて、これからのシステム導入には平時と有事の両方での具体的利用シーンを想定した検討が必要になると考えられる。

IV. おわりに

有事対応は会社にとって不慣れな場合が多く、デジタルフォレンジック調査では初動対応でシステム部門との連携だけではなく、システムベンダーとの連携までが必要になる場合がある。システムの機能に関連する問題をすぐに対応することは難しい場合もあるかと思うが、「実態把握」、「手順整理」、「訓練」のうち、できることから実行してはいかがだろうか。なお、その際には、より効果的な取り組みとするためにデジタルフォレンジックの専門家に相談することを推奨したい。

最後に、デジタルフォレンジック調査の初動対応で問題を回避するための確認のポイントを整理して本稿を終えたい。

•  会社内で利用しているシステム、ツール、デバイスが網羅的に把握されており、容易に取得できる状態となっているか。
• データの抽出手順が整理されているか。
• 整理した手順で実際に作業を行い、デジタルフォレンジック調査を想定した状況で問題が起きないことが検証されているか。
• 検証によって洗い出された問題の対策が実施されているか。
• 訓練が定期的に実施され、手順、問題、対策が継続的に行われているか。
• システム導入時の検討において、デジタルフォレンジックなどの有事での利用が要件・機能に反映されているか。
• デジタルフォレンジックサービスを提供できる専門家とのリレーションを持っているか。

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック & クライシスマネジメントサービス
新谷 和久（ヴァイスプレジデント）