「自社にはESETを導入しているから、万が一の情報漏えい時もログを追えるはず」。そう安心していませんか?
実は、ウイルス対策を主目的とした初期設定のままでは、退職者によるデータの持ち出しや、従業員の内部不正などが発生した際、「法的証拠」として十分に機能しないケースが少なくありません。
いざ警察への被害届の提出や損害賠償請求を行おうとしても、「誰が・いつ・どのデバイスを使って・何のデータを持ち出したか」を客観的に証明できるログが残っていなければ、証拠不十分として泣き寝入りせざるを得ないのが実態です。
本記事では、ESETの機能を活用した情報漏えい発覚後のデジタルフォレンジック調査や法的対応に耐えうる「証拠となるログの残し方」と具体的な設定方法を解説します。
Contents
なぜ情報漏えい時に「法的証拠」としてのログが必要なのか?
損害賠償や刑事告訴で直面する「証拠不十分」のリスク
従業員や退職者による機密情報の持ち出しが発覚した際、多くの企業は「社内のシステムログを少し調べれば、すぐに犯行を裏付けられるだろう」と考えがちです。しかし、実際に警察への刑事告訴(営業秘密侵害など)や、民事での損害賠償請求に踏み切ろうとした際、最も高い壁となるのが「客観的証拠の不足」です。
社内調査では「状況的に彼がやったに違いない」と断定できても、司法の場では以下のような厳格な証明が求められます。
- 「誰が」操作したのか・・・共有IDや、離席時のPCの乗っ取りではなく、間違いなく本人が操作したと言い切れるか。
- 「いつ」行われたのか・・・ログの時刻は正確か。PCの内蔵時計がズレていたり、意図的に変更されたりしていないか。
- 「何を」「どこへ」持ち出したのか・・・「ファイルにアクセスした履歴」だけでなく、「USBメモリにコピーした」「外部クラウドへ送信した」という具体的な流出経路を特定できるか。
ウイルス対策ソフトの初期設定のままでは、多くの場合「マルウェアを検知した」というセキュリティログしか残っておらず、上記のような「人間の不正な操作履歴(アクセスログやデバイス制御ログ)」までは記録されていません。
このような状態で法的措置に進もうとしても、警察からは「被害を裏付ける客観的な証拠がないため、被害届を受理できない」と判断され、弁護士からも「相手が否認した場合、裁判で勝つのは難しい」と指摘されてしまう可能性が考えられます。
法的な効力を持たせて自社を確実に守るためには、単に「ログがある」だけでは不十分であり、第三者が見ても疑いようのない「証拠能力を持ったログ」を平時から蓄積しておくことが不可欠なのです。
法的証拠として有効なログの4要件
単に「ログのような記録がある」というだけでは、裁判や警察への捜査依頼において証拠として採用されない可能性があります。司法の場で「客観的な事実」として認められるためには、デジタルフォレンジック(デジタル機器の鑑識・法的調査)の観点から、以下の4つの要件を満たしている必要があります。
- 1.正確性(タイムスタンプの正確な同期):
情報漏えい事件の調査では、「何時何分にその操作が行われたか」という時系列(タイムライン)が命になります。常にNTPサーバーなどと同期され、正確な時刻情報が記録されていることが大前提です。
- 2.網羅性(5W1Hの記録):
「ウイルスを検知した」という断片的な記録ではなく、不正行為の全貌を明らかにするための情報が網羅されていなければなりません。「Who(誰が):どのアカウントでログインしていたか」「What(何を)」どのファイルやデータに」「When(いつ):いつアクセスし」・・・など、これらの捜査履歴が連続して記録されていることで、はじめて「意図的な情報の持ち出し」を証明できます。
- 3.完全性(改ざんが不可能であることの証明):
証拠となるログ自体が、後から編集・改ざんされていないことを証明できなければなりません。管理者権限を持ったユーザーであっても容易に書き換えられない仕組みが必要です。
- 4.分離保管(ローカル環境外での安全な保存):
証拠隠滅を図る悪意ある従業員は、不正を行った後にPC内の閲覧履歴やログを消去しようとします。そのため、ログは個々のPC(エンドポイント)の中だけで保存するのではなく、操作と同時に外部の管理サーバー(ESET PROTECTなど)や専用の統合ログサーバーへ転送し、切り離された安全な場所で保管されていることが強く求められます。
これらの要件をクリアして初めて、企業は「いざという時に戦える武器」を手にすることができます。しかし、多くの企業が導入しているセキュリティソフトの「デフォルト設定」では、この要件を満たせないのが現実です。
「ESETを入れているから安心」の落とし穴
「自社は全PCにESET Endpoint Securityを導入し、管理ツール(ESET PROTECTなど)も入れているから、万が一の際もログから証拠を辿れるはずだ」
確かにESETは非常に優秀なセキュリティソリューションですが、情報漏えい事件の調査という観点においては、「導入しただけの状態」では致命的な死角が存在します。
その主な理由は、以下の2点にあります。
デフォルト設定は「外部からの攻撃」を防ぐためのもの
ESETをはじめとする多くのエンドポイントセキュリティ製品は、初期設定(デフォルト)状態ではマルウェアの検知や不正アクセスのブロックといった「外部からの脅威」に対する防御に最適化されています。
つまり、「ウイルスを駆除した」「不審な通信を遮断した」というログは残りますが、正当な権限を持った従業員が「いつ、どのUSBメモリをPCに挿し、どの業務ファイルをコピーしたか」といった、内部不正の調査に直結する詳細な行動履歴までは記録されません。 フォレンジック調査に耐えうる証拠を残すためには、従業員の操作そのものを「監視対象」として能動的に設定(ポリシー変更)を行う必要があるのです。
ローカル環境での「ログの上書き・消失」リスク
もう一つの大きな落とし穴が、ログの保存期間と容量の制限です。 情報漏えいインシデントの恐ろしいところは、発覚までに時間がかかる点にあります。独立行政法人情報処理推進機構(IPA)などの調査でも、内部不正による情報漏えいは、発生から発覚までに数ヶ月、あるいは数年を要するケースが珍しくありません。
もしESETのログを各PCのローカル環境にしか保存していなかった場合、どうなるでしょうか。 PCのストレージ容量を圧迫しないよう、古いログから順次上書き(ローテーション)されていくため、いざ数ヶ月前の不正操作を調査しようとした時には、すでに肝心の証拠ログが完全に消滅してしまっているという事態に陥ります。さらに、不正を行った本人が退職時にPCを初期化したり、意図的にログファイルを削除したりするリスクも考慮しなければなりません。
このように、「ESETを入れている事実」と「いざという時に法的な証拠として使えるログが残っている事実」は全くの別物です。有事の際に「証拠がない」と頭を抱えないためには、平時からESETの持つ機能をフル活用し、正しい設定と運用を行っておくことが急務となります。
【実践】法的証拠を残すためのESET必須設定
情報漏えい発覚時に「法的証拠」として戦えるログを残すためには、ESETの管理ツール(ESET PROTECTなど)からエンドポイントのポリシーを変更し、従業員の特定の操作を能動的に監視・記録する設定を行う必要があります。
ここでは、内部不正の調査において特に重要となる3つの必須設定を解説します。
※ESET製品の種類やバージョンによっては設定できない項目もございます。
USBメモリ等の外部持ち出しを監視(デバイスコントロールログ)
独立行政法人情報処理推進機構(IPA)の調査などでも、内部不正による情報漏えいの経路として常に上位に挙がるのが「USBメモリなどの中小容量記録メディア」へのコピーです。これを捕捉するためには、「デバイスコントロール機能」を有効化します。
- 設定のポイント:
ESETの設定画面から「デバイスコントロール」を有効にし、ルールを作成します。対象を「リムーバブルディスク」とし、アクションを「ブロック」または「通知」に設定するだけでなく、必ず「ログに記録する(重大度:情報 または 警告)」設定にしてください。 - 得られる証拠:
「いつ・どのPCに・どのようなベンダーのUSBメモリが接続され・データの書き出しが行われたか(または試みられたか)」が記録され、持ち出しの強力な客観的証拠となります。
不審な挙動の痕跡を記録(HIPSログ・検出ログ)
証拠隠滅を図る悪意あるユーザーは、不正を行う前に監視ツールの無効化やシステムの重要な設定変更を試みる傾向があります。これを記録するのが「HIPS(ホスト侵入防止システム)」のログです。
- 設定のポイント:
詳細設定からHIPS機能を有効化し、重要なレジストリやシステムファイルへのアクセスに対するルールを作成します。また、操作のログレベルを「診断」や「警告」など、適切に引き上げておきます。 - 得られる証拠:
「通常の業務ではあり得ないシステム深部へのアクセス」や「セキュリティソフトの機能を停止させようとした痕跡」が記録されます。これは「過失ではなく、悪意を持った意図的な犯行である」ことを法的に裏付ける重要な材料になります。
外部への不正通信を把握(ファイアウォール詳細ログ)
近年増加しているのが、個人のクラウドストレージ(Google DriveやDropboxなど)やフリーメールを経由したデータの持ち出しです。これらを追跡するためには、ネットワークの通信記録を詳細に残す必要があります。
- 設定のポイント:
ネットワーク保護(ファイアウォール)の設定で、特定の外部ネットワークへの接続ルールを作成し、それらの通信を「ログに記録する」よう設定します。必要に応じて「すべてのブロックされた接続をログに記録する」などの診断用ログも有効化します。 - 得られる証拠:
「いつ・どの外部IPアドレス(サーバー)に向けて・どのポートを使って通信を行ったか」が記録されます。これにより、「USBメモリの接続履歴はないが、外部のクラウドサービスへ大量のデータを送信した形跡がある」といった流出経路の特定が可能になります。
これらの設定を全社に適用することで、ESETは単なる「ウイルス対策ソフト」から「内部不正の監視・記録装置」へと進化し、万が一の事態における強力な防具となります。しかし、ログを「残す」だけではまだ不十分です。次のステップとして、その証拠を「守る」仕組みが必要になります。
証拠の「改ざん」を防ぐ!一歩進んだログ保全策
前項の必須設定を行うことで、内部不正の痕跡を「記録」する準備は整いました。しかし、法的証拠として完全に機能させるためには、もう一つクリアしなければならない大きな壁があります。それは「証拠隠滅(ログの改ざん・消去)の防止」です。
会社の機密情報を意図的に持ち出すような従業員は、多くの場合、ある程度のITリテラシーを持っています。彼らは不正を実行した後、自らの足跡を消すために以下のような行動に出る可能性があります。
- PCのローカルに保存されたESETのログファイルを意図的に削除する
- 管理者権限を悪用してログの一部を自分に都合よく書き換える
- 退職のタイミングで「PCの調子が悪かった」と偽り、端末を初期化してしまう
PC(エンドポイント)の中にしかログが存在しない状態では、このような証拠隠滅を防ぐことは困難です。そこで不可欠となるのが、ESET PROTECT等の管理システムを活用したログの「集約」と「外部保管(Syslog転送)」です。
ESET PROTECTへの集約とSyslog転送による「分離保管」
各従業員のPCで記録された操作ログや検知ログは、即座に統合管理サーバー(ESET PROTECTなど)へ自動送信されるように構成します。さらに一歩進んだ対策として、管理サーバーに集約されたログを、専用の「Syslogサーバー(統合ログ管理システム)」へ転送・外部保管する仕組みを構築します。
この構成をとることで、以下のような絶大なメリットが生まれます。
- エンドポイントでの隠滅が不可能に :操作が行われた瞬間に外部サーバーへログが送信されるため、直後に本人がPC内のログを消去したり端末を初期化したりしても、外部サーバーには「操作した事実」と「ログを消そうとした事実」の両方が証拠として安全に残ります。
- 改ざん防止(完全性の担保) :Syslogサーバーなどのログ専用システムは、基本的に追記のみが許可され、過去の記録の改ざんや削除が極めて困難な仕様になっています。これにより、司法の場で「このログは後から書き換えられたものではない」と胸を張って証明できるようになります。
- 長期的な一元管理:PCのストレージ容量に依存しないため、数年前に遡るような長期的なログの保管が可能になります。
「記録する場所」と「保管する場所」を物理的・システム的に切り離す(分離保管する)こと。これこそが、いざという時の裁判や警察捜査で証拠能力を失わないための、鉄壁のログ保全策なのです。
実際に情報漏えいが発覚してしまったら?初動対応の鉄則
どんなに平時からESETで完璧なログ取得設定を行っていたとしても、実際に「自社のデータが持ち出されたかもしれない」というインシデントに直面した際の「初動対応」を誤ると、せっかく集めたすべての証拠が法的な効力を失ってしまいます。
ここでは、インシデント発覚時に絶対にやってはいけないNG行動と、被害を最小限に抑えつつ証拠を守るための鉄則を解説します。
自社でのPC操作は絶対にNG!証拠が壊れるメカニズム
「誰が漏えいさせたのか」「どのファイルが見られたのか」を急いで確認しようと、疑わしい従業員のPCを立ち上げ、社内の情報システム担当者が自ら中身を調べてしまうケースが非常に多く見られます。しかし、デジタルフォレンジックの観点において、これは最悪の悪手です。
PCは「電源を入れる」「ファイルを開く」「フォルダを検索する」といった日常的な操作を行うだけで、バックグラウンドで数百〜数千のシステムファイルが自動的に更新され、「アクセス日時」や「変更日時」などの重要なタイムスタンプが次々と上書きされてしまいます。
「状況を確認しようとしただけ」であっても、司法の場では「証拠が改ざんされた」と見なされるリスクがあり、法廷で戦うためのせっかくのログも、その証拠能力を否定される致命的な原因となります。
ネットワークから切断し、そのままの状態で「保全」する
漏えいの疑いが発覚した際、現場が取るべき正しい初動対応は「被害の拡大を防ぎ、現場をそのまま凍結すること」に尽きます。
- 直ちにネットワークから切断する:LANケーブルを抜く、あるいはWi-Fiスイッチをオフにして、外部との通信を物理的に遮断します。これにより、さらなるデータの流出や、犯人による遠隔からの証拠ファイル消去を防ぎます。
- 電源の扱いに注意し、一切の操作をやめる:PCが起動している場合はそのままの状態を維持し(むやみに通常シャットダウンをしない)、電源が落ちている場合は絶対に電源を入れず、誰もそのPCに触れないように隔離・保管します。
これ以上の自社での操作を完全にストップした上で、元のデータを1ビットたりとも変更せずに丸ごと専用機器で複製する「証拠保全」の手続きへと速やかに移行しなければなりません。
この厳格な保全作業と、その後の解析を「利害関係のない第三者の専門機関」が行って初めて、ESETで記録したログやPC内のデータは「客観的な法的証拠」として強い効力を持つようになるのです。
まとめ
情報漏えい発覚時、ESETを適切に設定しておくことで「強力な証拠となるログ」を残すことは可能です。しかし、いざインシデントが発生した際に、そのログを自社の担当者自身で収集・解析しようとすることは、かえって証拠能力を失わせる取り返しのつかない結果を招きます。
法的効力を持った客観的な証拠として警察や裁判所に提出するためには、「利害関係のない第三者の専門機関」が、厳格な手順に則って保全と解析を行うことが絶対に欠かせません。デジタルフォレンジックの観点から、以下の4つの要件を特に満たしている必要があります。
- 正確性(タイムスタンプの正確な同期)
- 網羅性(5W1Hの記録)
- 完全性(改ざんが不可能でかることの証明)
- 分離保管(ローカル環境外での安全な保存)
ESETを導入してるから安心・・・というもの落とし穴があります。デフォルト設定は「外部からの攻撃」を防ぐためのものに過ぎません。内部不正の調査においては、個別に必須の設定があります。
- USBメモリ等の外部持ち出しを監視(デバイスコントロールログ)
- 不審な挙動の痕跡を記録
- 外部への不正通信を把握(ファイアウォール詳細ログ)
また、Syslog転送による「分離保管」から、ローカル環境での「ログ上書き・消失」の防止も必須です。
私たちデジタルフォレンジック24では、長年のデジタルフォレンジック技術のノウハウを活かし、インシデントの状況やお客様の目的に合わせた専門サービスを提供しております。
もし現在、社内で情報漏えいの疑いがあり、お困りの場合は、お気軽にお問い合わせください。
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。
デジタルフォレンジック24
公式サイト
↓こちらをクリック↓
デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。
出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
デジタルフォレンジック24公式サイトはコチラ
オフィスは主要都市に5拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に5店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
東京都千代田区外神田6-3-5
三勇ビル 7F
直通TEL:03-6206-0970
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口
