「退職者が機密情報を持ち出して競合他社に転職した可能性がある」
「勤務態度の悪い社員がおり、仕事中にゲームやインターネットで遊んでいる疑惑がある」
「取引先に水増し請求を行っている疑いがあり、スタッフが請求書のエクセルを改ざんしているか調べたい」
これらのような事態が発生した際、まず思いつくのは「該当者が使用しているパソコンの操作ログを調査できないか?」です。しかし毎日のように使用しているパソコンであっても、操作ログを調べるのは意外に専門知識がなければ調べることはできません。本記事では、デジタルフォレンジック調査の観点から操作ログから分かることを解説します。
パソコンの操作ログ調査で何が分かる?
パソコンの操作ログとは、誰が、いつ、どこから、何をしたのかなど操作内容を記録した履歴データです。内部不正が発生した場合、パソコンの操作ログを調査することによって「その時、どのような操作が行われていたか」「いつ実行されたか」などを調査し、原因の究明が可能です。
不正アクセス調査
パソコンの操作ログ調査で不正アクセスの有無を調査可能です。
具体的には不自然なネットワーク接続やあり得ないパスワード入力、また侵入開始時刻やその期間などが判明するケースがあります。特に近年はランサムウェアやマルウェア攻撃が社会問題となっており、内部不正はもちろん、外部からのアクセスに対処する必要があります。
情報漏えい調査
一言で「情報漏えい」と言っても、様々な経路が考えられます。
・社内的には使用を禁止されているUSBメモリを勝手に使い、サーバからコピー
・ブラウザからYahooメールやGmailにログインし、添付ファイルから別アドレスに送信
・リモートソフトを使用し、リモート先に転送
このようにどのデータをどのように外部に送信したのかを操作ログによって明らかにできます。
セキュリティインシデントの原因調査
IT化が浸透した一方、業務のトラブルもパソコン上で発生するケースが増えました。
不正アクセスや情報漏えいはもちろんのこと、サイバー攻撃やヒューマンエラーもセキュリティインシデントの一例です。
パソコンの操作ログの調査によって、どのような原因で発生したかを調査できます。
原因が特定できれば、問題改善に活かせます。
調査から解決、改善につながるのもデジタルフォレンジック調査の強みです。
従業員の勤務態度調査
社員の日常業務のチェックにも活用可能です。
操作ログはパソコンで実行された「操作」「時間」「誰が」「どこへ」などを把握できるため、社員の勤務態度などを確認したい時にパソコンの操作ログは有効です。
最近では「トラブル対策」ではなく「トラブルを未然に防ぐため」にスタッフにあえて周知し、ITリテラシーの向上に役立てているケースもあります。
なぜ操作ログが決め手になるのか
なぜ内部不正がパソコンの操作ログの調査によって決め手となるのでしょうか?
結論から言うと「人の行動は必ずデジタルの痕跡として残る」ためです。
行為そのものを記録している
いわゆる「5W1H」、いつ、どこで、誰が、何を、なぜ、どのように、が操作ログ調査によってすべて明らかとなります。操作ログは「行動」をすべてリアルタイムに保存してくれます。
ファイルのコピーやソフトウェアの起動、書き換え、入力した内容などを事実として追うことができます。
改ざんが難しく、証拠性が高い
管理システムを導入している場合、パソコンの操作ログだけでなく、「監査ログ」「管理者用ログ」「別システムログ」など複数ログを突き合わせて操作ログを確認できます。ログの客観性を担保するだけでなく、意図的に消去された場合も明らかにできます。
痕跡消去すら痕跡として残る
ログ削除は「削除という操作」も記録されます。操作だけでなく、USB接続(着脱)、ファイル転送、スクリーンショットなど、こうした行動も隠ぺいを暴きます。つまり内部不正はこの行為が確実に証拠として残ると言えます。
パソコンの操作ログの調査方法
Windows イベントビューアー
Windowsを使用している場合、まず思い浮かぶのは「イベントビューアー」でしょう。チェックできるログとしては以下の項目があります。
- システムログ:OSの挙動の記録
- アプリケーションログ: ソフトウェアの動作記録
- セキュリティログ: 監査・セキュリティについての記録
他にも、アップデート履歴やリモートアクセスの記録などが確認可能です。
注意点として、Windowsのイベントビューアーで記録・保存されている操作ログは一定期間を経過すると消去されてしまいます。タイミングや時期によっては目的の操作ログをチェックできない可能性があります。
またユーザーによって任意にログを削除できるため、知識のある者が不正操作によってログ情報を消去し、調査が困難となってしまうリスクがあります。
操作ログの管理システムを導入する
パソコンの操作ログを管理や保存する専用の管理システムがあります。このシステムを導入することにより、不正な操作を自動検知したり未然に防止したりできます。
高機能で便利なシステムではありますが、導入には相応のコストがかかり、また運用にはITの専門家や人材が必須です。組織の規模や業務内容、社員数に合わせた最適なシステムの導入のために検討の労力も必要となります。
デジタルフォレンジック業者に依頼する
Windowsイベントビューアーではログの収集に限界があり、専用の管理システムの導入もハードルが存在します。特にトラブル発生後は原因究明や問題改善に時間を要する可能性があります。そんな時はデジタルフォレンジック業者に依頼するのも一手でしょう。
デジタルフォレンジックを専門に取り扱う調査会社は高い技術力と長年培ったノウハウを駆使し、対象となるパソコンの操作ログを保全、調査します。
プロの目から原因の特定、問題の早期解決が可能となります。
集めるべき操作ログの種類
パソコン内部では膨大な量のデジタルデータが毎秒毎分処理されており、ログも本来膨大な量となります。その中から「操作ログ」、特に内部不正や不正アクセスの集めるべきログや注目すべきログのみピックアップするのは実は簡単ではありません。目的ごとに種類を整理して把握し、むしろ取捨選択が重要となります。
OSレベルのログ
- イベントログ:ログオン/ログオフ履歴、アクアンと権限の変更
- 実行ログ:アプリケーションのインストール/アンインストール、コマンドがいつ実行された
- ファイルアクセスログ:ファイルの作成や削除、ファイルコピーや移動の履歴
アプリケーションのログ
- 文章作成・編集履歴:Word、Excel、PDFなどの編集ログ
- データベース操作ログ:レコードの閲覧はもちろん更新や削除
- クラウドサービス操作ログ:ファイルアップロード/ダウンロード、管理者権限操作
ネットワーク・通信のログ
- 接続ログ:VPNやリモートの接続記録
- 通信履歴:インターネット接続、クラウドサービス接続
- 外部転送:FTPやプロキシなどを用いた外部アクセスとファイル送信
物理的・外部媒体のログ
- 接続記録:USBメモリや外付けHDDなどが「どの端末に」「いつ」接続されたか
- ファイル転送ログ:コピー、削除、変更などの記録
操作ログ調査の事前準備
パソコンの操作ログ調査を行うにあたって、一番重要となるのが「初動」です。
せっかく重要なログが残っていても、適切な対応ができず証拠が残せなくては意味がありません。
特に、内部不正の調査では隠ぺいのリスクもあり時間との戦いでもあります。
該当端末(パソコン)の適切な保全
不審なパソコンがある場合、まず「電源を安全に落とす」「誰にも触れさせない」「ネットワークから切断する」などの対処が必要です。
電源を落とし、誰にも触れさせないことにより、新たな操作ログで古い(調査対象の)ログが消えてしまったり上書きされてしまったりを防ぎます。またネットワークから切断することにより、外部からのアクセスや、逆に外部へのアクセスをシャットアウトします。
当たり前のことかもしれませんが、特にトラブル発生時は焦って思い至らないものです。余計なことをして状況を悪化させるケースも意外にありますので、この点も注意が必要です。
デジタルフォレンジック業者に保全と調査を依頼
訴訟や裁判を検討している場合、パソコンの操作ログを法的な証拠として提出する準備をする必要があります。まずパソコンを適切に保全する必要があります。その後、パソコンを調査・分析・検証し、最終的に法的に効力のある報告書として提出してくれます。操作ログの調査が自前では困難なケースではフォレンジック業者に依頼するのが一番でしょう。客観的に、必要な条件を満たした報告書を作成してくれます。
NG行動
最後に、パソコンのログ調査を行ううえでのNG行動を挙げます。
- 自己流で操作ログを調査する:操作ログは「操作すれば操作するほど」消失や上書きのリスクが高まります。
- パソコンを電源を入れたまま放置する:内部不正者が勝手に操作しログを消去する可能性があります。また昨今はリモート接続も容易です
- 実績のないフォレンジック業者に依頼する:操作ログの調査などデジタルフォレンジック調査は高度な機械と知識が揃ってはじめて可能です。パソコンに詳しい=デジタルフォレンジック調査が可能ではありませんので注意が必要です。かえって、状況が悪化するリスクがあります。
まとめ
企業や組織において内部不正は増加傾向にあり、顧客情報や機密情報の持ち出し、ログやデータ改ざんなど非常に多岐にわたります。内部不正は操作ログの調査により高い確率で立証が可能です。
- 行為そのものを記録している
- 改ざんが難しく、証拠性が高い
- 痕跡消去すら痕跡として残る
ただし、調査のためには以下の準備が必須です。
- 操作ログ調査のための正しい知識(証拠保全など)
- 専用の管理システムの事前導入
- 収集すべき操作ログの取捨選定
つまり、十分な事前の管理体制が必要となります。専用のソフトウェアや管理システムの導入となるとなかなか敷居が高いかもしれません。また、トラブルが発生した場合、内部不正は場合によっては「身内の恥」で相談しずらいケースもあります。そんな時はデジタルフォレンジック業者に相談をおすすめします。
デジタルフォレンジック24は、高度なデジタルフォレンジック技術はもちろん、調査後の保守セキュリティーサービスもご提案しております。ぜひお問い合わせください。
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします
デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております
出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております
デジタルフォレンジック24公式サイトはコチラ
オフィスは主要都市に5拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に5店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
東京都千代田区外神田6-3-5
三勇ビル 7F
直通TEL:03-6206-0970
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口
