クラウドサービスの普及やテレワークが当たり前となった昨今、企業情報の持ち出し手口はかつてないほど巧妙化しています。従来の「USBメモリの使用禁止」などの物理的な対策だけでは、もはや不正は防げません。
しかしどれだけ痕跡を消去したつもりになっていても、デジタル機器には「操作ログ」という名の動かぬ証拠が眠っています。
本記事では、実際に起きた事例をもとに、「PCの操作ログから、いかにして事件が発覚したか」を解説します。御社では絶対に起きないと言い切れますか?
Contents
【第1章】なぜ今、操作ログ調査(デジタルフォレンジック)が必要なのか?
ビジネスのIT化が進み、以前は紙ベースだった資料もデジタル化されています。利便性が向上した一方、トラブルもデジタル上で発生するようになりました。
- 退職者が顧客情報をパソコンから抜き取った
- データを改ざんし、水増し請求や横領を行う
- 業務中に会社のパソコンを使ってゲームや副業をする
これらはあくまで一例です。最近では「クラウドやフリーメールを使用し、データを不正に送信」「チャットツールを用いた違法な情報のやりとり」も多くなっています。そしてトラブルの大半は「すぐ」ではなく時間が経過してから発覚します。具体的には「退職者が退職した後」「疑惑は以前からあった」などです。時には半年、一年経過してから発覚するというケースもあります。気づいた時にはデータ(ファイル)がなくなっていた、パソコンが初期化されてしまっていた、改ざんされてから長い時間が経過してしまった、など十分に起こり得ます。
ここで、操作ログの重要性が光ります。操作ログが残っていれば、「データ(ファイル)そのもの」が残っていなくても、「いつ、誰が、何をしたか」を調査可能です。特にデジタルフォレンジックの分野では、裁判や損害賠償請求において、客観的な証拠として取り扱うことができます。
【第2章】実録!操作ログから発覚した内部不正事例3選
内部不正とは、どのような実態なのでしょうか? ここでは企業や組織にて発生した事例を3つご紹介します。
事例No.1 退職者による顧客リスト持ち出し
- 状況:成績優秀な営業マンが競合他社へ転職。直後から顧客が減少した。
- 操作ログ解析の結果:退職の3日前に、深夜帯に会社PCへUSBメモリを接続した履歴を発見。さらに、特定の顧客フォルダへアクセスし、コピーを実行したログを特定。
- 結末:操作ログを証拠として突きつけ、法的措置を行った。
事例No.2 横領の隠ぺい(データ削除)
- 状況:経理担当者のパソコンから、特定の請求データが消えていた。
- 操作ログ解析の結果:「誤って削除した」という本人の主張に対し、操作ログ解析で「検索」→「選択」→「完全削除」が発覚。明らかに意図的な操作フローのため、誤操作ではないことを証明。
- 結末:意図的な削除から、芋づる式で横領も発覚した。操作ログを証拠として突きつけ、法的措置を行った。
事例No.3-勤務時間中の職務怠慢・副業
- 状況:リモートワーク中に連絡がつかない社員がいる。成果物の提出も遅い。
- 操作ログ解析の結果:貸与しているパソコンのWeb閲覧履歴からはYoutubeや副業サイトを発見。操作ログからはほとんど操作されていない実態が発覚。
- 結末:実働時間がほぼないことを特定し、懲戒に。
【第3章】プロはここを見る!調査のポイントと技術
「特定の社員の羽振りが急に良くなった(もしくは不明な外出時間が増えた)」「競合他社に、なぜか自社の未公開情報(顧客やノウハウ)が漏れている気がする」・・・経営層や管理職なら、一度はこうした「違和感」を抱いたことがあるのではないでしょうか。しかし、証拠がないまま疑ってしまうと、組織の信頼関係が崩壊してしまうリスクもあり、なかなか踏み切れません。
そんな時、事実を客観的に語ってくれる唯一の証人が「操作ログ」です。
一方、「では調べてみよう・・・どうやって?」となります。ITスキルが高い方であっても、普段は使用しない「操作ログ」の調査や解析は難儀します。
そこで必要となるのがデジタルフォレンジック技術を用いた「操作ログ」の調査です。
デジタルフォレンジックのプロはどこに着目するでしょうか? 調査のポイントとその技術をご紹介します。
単なる履歴確認ではない
操作ログと聞いて真っ先に思い浮かべるのは、WindowsのイベントログやWebの閲覧履歴かもしれません。それ以外にもあります。
- レジストリ
- 外部デバイス接続履歴
- ファイル転送
- スクリーンショット
これらを総合的に分析し、明らかにするのがデジタルフォレンジックの操作ログ解析です。
「消去された操作ログ」の復元
不正した(もしくは疑惑のある)従業員が操作ログを消去しても、デジタルフォレンジックの技術なら「消去した操作」自体を発見できるケースがあります。ファイルが存在していなくとも「そのファイルが、いつ、どこで、誰が、何を、なぜ、どのように」操作されたか明らかとなります。
こうした情報は改ざんが難しく、客観的な証拠となります。つまり証拠性が高いと言えます。
証拠保全の重要性
操作ログの調査や解析において、スタートラインとなる「証拠保全」も重要です。調査の段階で、もしくはトラブル発生直後、「まずは状態を維持する」ことが何より重要です。
- インシデント発生時点の情報を記録
- 改ざんや消去される以前の状態を保持
- 時間経過による操作ログの消失の防止
証拠保全作業は、操作ログ解析の前段階の工程として非常に重要視されています。
さらに詳細な証拠保全についての解説はこちらの記事もご覧ください。
【第4章】「あやしい」と思ったら?絶対にやってはいけないNG行動
内部不正発覚時やインシデント発覚時、あせりや不安から誤った行動や操作をしてしまいがちです。結果として「重要な証拠データが永久的に消失してしまう」「機器を故障・破壊してしまう」ケースも実はよく起こります。以下の行動は絶対にやってはいけません。
該当PCを操作する
操作すれば操作するほど、操作ログが増えていきます。状況によっては古い操作ログが上書きされたり、消失したりする可能性があります。
- ファイルを開く:更新日時などが変更・更新されてしまい、正確な情報が消失してしまう。
- WEBの閲覧履歴の確認:新しい閲覧履歴として更新されるため、過去の閲覧履歴との判別が難しくなる。
- ファイルの整理や移動:あやしいデータを分かりやすいフォルダへ移動させるだけでも不要な操作ログとして記録されてしまいます。
他に、不用意なパソコンの起動や再起動、シャットダウンは控えるべきです。初動時は、ある意味では「何もしない」のが鉄則です。
自己流でデータ復旧ソフトや操作ログ調査を試みる
近年はフリーのデータ復旧ソフトも高性能化していますが、データ復旧ソフトでは実のところ操作ログの調査や解析は対応できません。
ならば自己流で操作ログを調査してみよう・・・となるかもしれませんが、操作ログの解析は正しい技術(ノウハウ)が必要であり、一朝一夕でできるものではありません。いたずらにパソコンを操作し、どんどん過去の操作ログが上書きされ消失していく事態となっては元も子もありません。
【第5章】不正の痕跡はここに残る!代表的なログ保存ツールとは
操作ログの調査に際して、ログ保存(ログ管理)ツールが大いに有効です。パソコンに標準で備わっているログ情報より詳細な情報を収集することができます。「何月何日何時何分に、誰が、どのファイルを編集した/コピーした」などの証跡を可視化してくれます。ここでは、企業が導入している代表的なツールをご紹介します。
PC操作の監視役「クライアント操作ログ管理ツール(資産管理ソフト)」
- 役割:社員一人ひとりのPCにエージェントをインストールし、詳細は操作を記録する。
- わかること:キーボード入力、ファイル名の変更、USBメモリの抜き差し、印刷履歴など、「PCで何をしていたか」が丸裸となります。
- 具体例:MylogStar、SS1など。
ネットワークの関所「UTM(統合脅威管理)」
- 役割:インターネットと社内LANの出入り口を監視する装置です。
- わかること:どのPCが、どのあやしいサイトにアクセスしたか」という通信の宛先と量が分かります。
- 具体例:FortiGate、YAMAHA UTMなど。
まとめ
ここまで「操作ログ」は企業や組織の資産を日々記録している、まるで航空機の「ブラックボックス(フライトレコーダー)」であるとご紹介しました。決して大げさな例えではなく、会社や団体の規模を問わず、内部不正はいつ発生してもおかしくない時代です。そしてそれはパソコン上で密かに行われています。
- 退職者による企業情報の流出
- 横領の隠ぺい、無断データ削除
- 勤務中の職務怠慢
時には顧客や取引先も巻き込むリスクがあります。操作ログの調査によって自社の潔癖を明らかにするためには、「記憶」よりも「記録」が重要です。操作ログは、資産だけでなく「信頼を守る」ためのものでもあります。
- Windowsのイベントログや外部デバイスの接続履歴の調査
- 消去された操作ログの復元
- 証拠保全
これらの調査には、デジタルフォレンジック技術が活かされます。
また、事前に資産管理ソフトやUTM(統合脅威管理)の導入も有効です。
- 資産管理ソフト(MylogStarなど):従業員一人ひとりのパソコンにインストールし、操作ログを収集
- UTM(FortiGate):どのパソコンが、どのサイトに、いつアクセスしたか、などの情報を収集
これらのツールは「記録」は得意ですが、ログを削除されたり、容量オーバーで上書きされたりするケースもあり得ます。また、日々のメンテナンスも必須です。
「こういった機械(ツール)を導入したいけど、どのツールを導入したらいいか分からない・・・」
「導入したとしても、日々のメンテナンスや管理をできるITスタッフがいない・・・」
デジタルフォレンジック24は、日本国内最高峰のデジタルフォレンジック技術で操作ログの調査・解析が可能です。消去されたログから証拠を復元した実績もあります。例えるなら、資産管理ソフトやUTMは「防犯カメラ」、デジタルフォレンジック技術は防犯カメラをもとに解析を行う「科学捜査」です。
また操作ログの解析だけでなく、お客様の組織規模や用途に合わせた監視ツールやセキュリティ対策の導入もご提案できます。
まずはお気軽にお問い合わせください。
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。
デジタルフォレンジック24
公式サイト
↓こちらをクリック↓
デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。
出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
デジタルフォレンジック24公式サイトはコチラ
オフィスは主要都市に5拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に5店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
東京都千代田区外神田6-3-5
三勇ビル 7F
直通TEL:03-6206-0970
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口
