フォレンジック調査を検討する上で大切な2つのポイント – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

実績 データ復旧の技術 デジタルフォレンジック セキュリティー対策 長期保存 ITお役立ち情報 ハードディスク(HDD) パソコン(PC) クローン データ保全

フォレンジック調査を検討する上で大切な2つのポイント

投稿日:2019年5月8日 更新日:


PCの不正使用のフォレンジック調査を依頼したいお客様の事例

ある会社様では勤務時間中にインターネットを私的に閲覧することを禁じておりました。従業員A氏は、会社のパソコンの私的利用を含めた勤務態度が著しく悪く解雇を通告されました。これに対してA氏から不当解雇を理由に訴訟を起こす主旨の連絡がきました。

このような場合には、企業として勤務時間中のPCの不正使用の事実を反論として主張することが有効です。そのため従業員のパソコンの使用実態を裏付ける証拠を見つけ出すことが必要となります。

 

重要① フォレンジック調査にはHDDの保全が必要

上記の事例のような場合、従業員のPCについてフォレンジック調査を行い、PCの不正使用を裏付ける証拠を探し出すことが重要になります。フォレンジック調査は、単に削除されたデータの復旧にとどまるものではなく、証拠価値を最大限維持しつつ証拠を収集する調査であるため通常のデータ復旧に比べ高度な技術が必要であり専門技術をもった会社が行わなければなりません

フォレンジック調査は、HDD内にある削除されたデータの痕跡を解析してデータの抽出を行う作業です。
しかしHDD内の削除されたデータの痕跡は、PCの使用に伴って上書きされていくため、データの上書きが進行していくのに伴いインターネットアクセス履歴やファイルアクセス履歴を抽出することは難しくなっていきます。そのため、従業員のPCを調査する場合には、データの上書きが進行する前に、調査対象PCのオリジナルのHDDと完全に同一内容のHDDの複製を作って保全をすることが必要になります。これによりオリジナルのHDD内のデータを書き換えることなく調査を行うことが可能になります。

また従業員の退職後は当該PCを他の従業員が使用している場合も多く、データの上書きが進んでしまっている場合もあります。そのため、一刻も早く複製を作る作業が不可欠です。

 

重要② 気づかれることなく調査をする必要性

会社のPCの不正使用を裏付ける証拠を発見し確保する上で調査対象者が在籍中の従業員である場合、本人や周囲の従業員に気づかれることなくHDDの複製を作る作業を行う必要があります。具体的には、オフィスに従業員がいない平日深夜や休日に作業を行うことになります。技術者がオフィスへ出張して、その場で調査対象者のPCからHDDを取り出し複製を作る作業を行う、あるいは、調査対象のPCをお預かりして会社で複製を作りPCを元の場所に戻す、といった対応を行います。

またPCの知識、スキルのある従業員であればデータ消去ソフトなどを使って復元ができないようにデータの痕跡が消去される可能性ありますので、そのようなことをされる前にHDDの保全をする必要があります。

 

HDDの複製を作っておくだけでも有効

2017年の改正個人情報保護法の施行により個人情報を含む機密情報の管理についてこれまで以上の注意が必要となっております。
退職者のPCを再利用する前に退職時のPCの状態を保全しておき将来のフォレンジック調査に備えるといった「HDD複製(クローン)サービス」もおすすめです。
夜間や休日などに調査対象者や他の従業員のいない時間帯に技術者を現地に派遣して複製を作る作業にも対応いたします。
専門業者が使用する機器は、単に複製を作るだけの機器とは違いHDDの状態を制御しながらより精度の高い複製作業をすることができます。

インターネットの閲覧履歴、アプリケーションの起動履歴や不正アクセスの調査やパスワード解析など、ご不安やご心配な事案がございましたら「デジタルフォレンジック24」へ問い合わせください。
皆様の問題解決に真摯に取り組んでまいります!

-実績, データ復旧の技術, デジタルフォレンジック, セキュリティー対策, 長期保存, ITお役立ち情報, ハードディスク(HDD), パソコン(PC), クローン, データ保全
-, , , , , ,

執筆者:

関連記事

パスワードがわからない!【 PDF のパスワード解除はできるのか? 】

情報漏洩を防ぐため、重要書類をメールに添付する際には、 パスワード設定が必須とされている企業も多いのではないでしょうか? 契約書や…

続きを読む

企業で起きた暗号化解除事例

Contents1 事例1:暗号化された顧客情報の調査1.1 管理者不在の顧客情報が暗号化1.2 PGPで暗号化されていた1.3 …

続きを読む

退職者が勝手にデータ削除!?損害賠償請求は可能?

従業員が退職した際、故意にメールや書類などのデータを勝手に削除されてしまったというケースがあります。 気づいた時は既に遅し、 退職…

続きを読む

中小企業が知っておきたい!セキュリティトラブル事例と対策

中小企業でも重要なデータを日々扱っています。セキュリティ対策はどの企業でも必要なものです。 業務中に起こりうるトラブルを事前に把握…

続きを読む

退職者に消去(初期化)されたデータの調査・復元は可能?

Contents1 退職者に在職中に使用していたPCを初期化(データ消去)された2 どんなメールなら調査・復元することができるのか…

続きを読む