削除されたデータを復旧させて犯罪などの痕跡を探すデジタルフォレンジック技術は進歩を遂げており、デジタルデバイスが増えている昨今、様々な痕跡を追跡することができるようになってきています。
しかしデジタルフォレンジックは時間と費用が掛かる上、技術面以外のところで有効な証拠とするための行動が重要となります。本稿では技術面よりもデジタルフォレンジックに頼らざるを得ない状況になった時の進め方について少し述べるとともに、一定規模の企業であれば、リスク管理の一環としてPCの操作履歴や入退室履歴などを記録するシステムなどを導入し、社内PCでの不正を未然に防止する等の対策を講じる方が結果的に安くなることについて説明します。
誰もがスマホを持っている時代になり、企業もインターネットへの接続があたりまえの時代となった今、情報セキュリティはいくらお金をかけても終わりがありません。
加えて、社員やアルバイトがSNS等を使って会社の不正を告発することもできたり、あるいは不用意な画像や動画を拡散してしまうこともできる時代になってきました。
PCやスマホ以外にも様々なシチュエーションでデジタルデータが記録される時代になってきています。
たとえば開錠記録、最終退出記録といった入退室記録も、ICカード等によるもの以外に生体認証や顔認証等によるものが安価で導入できるようになってきています。
あるいは複合機などにも送信ログや痕跡が残ります。温度計などもデータをサーバーに自動記録するものが安価で手に入るため、入退室を補助的に記録することができます。
■セキュリティ対策はパソコンウィルス対策だけではない
企業のセキュリティというと、すぐにパソコンにウィルス対策ソフトを導入しているかどうか、ということが頭に浮かびますが、近年のセキュリティはもう少し違う角度での設計が必要になっています。
たとえばWindows10には、Windows Defenderというウィルス対策機能がはじめから無償で備わっています。
パソコンへのウィルス侵入はこれである程度食い止められます。加えてメールをGmailやWindows Outlook.com等のオンラインアプリケーションにすればメールからのウィルス侵入も相当程度食い止めることができます。
このように、いわゆるウィルス対策という意味では、なにもしなくても最低限の対策はあるていどできています。
一方、企業のセキュリティは、社外からの攻撃に加え、内部からの情報漏えいやITを使った悪巧みに目を光らせることに重点を置くべきです。
たとえば以下のような項目も、一種のセキュリティ対策項目です。
・SNSへの不適切動画等公開・拡散
・ITツールを使用したセクハラ・パワハラ
・内部の者による機密データの持ち出し
・横領などの不正操作
・会社に対する誹謗中傷・怪文書・メール配布
・WiFiや複合機LAN経由等でのネットワーク侵入
近年、社員やアルバイトが不適切な画像をSNS等にアップし、企業イメージが失墜するケースを良く耳にします。こういったケースは、ウィルス対策をいかに強化しても防止できるものではありません。
セクハラ・パワハラなどでは、メールやLINEなどのコミュニケーションツールを使って目に見えない形で進行する場合があります。
機密データの持ち出しも重要なポイントです。USBによるデータの持ち出しの他に、スマホのカメラ機能を使って機密画像を撮影したり、会社のFAXやコピー機を使って会社の情報をこっそりと社外に持ち出す場合もあります。
横領などではいわゆる二重帳簿をエクセルで記録しパスワードを掛けて管理している場合もありますし、紙に押印された印影等をカメラ等で撮影して取込み、これを画像編集ソフトなどで加工してそっくりな偽造社印を作る場合もあります。
更には同僚のアカウントを利用して経営者や特定の人物を誹謗中傷するビラを作成してばらまいたり、大量の中傷メールを社内外に送り付けたりする場合もあります。
WiFi等の管理が甘い場合は、退社した社員が雑居ビルのトイレなどから社内ネットワークに侵入し、データの抜き出しを狙うケースもあります。パソコンの管理は厳しくてもLANに接続している複合機やIoTデバイス等のセキュリティは弱い場合があります。
これらはいずれもいわゆるコンピュータウィルスではありませんので、いかに高価なウィルス対策ソフトを導入しても防御できません。
そんなときに役に立つのが「デジタル・フォレンジック(digital forensic)」に関する技術です。フォレンジックを英和辞典でひくと、法科学とか科学捜査といった言葉が目に入ります。
forensicとは聞きなれない言葉ですが、もともとは英語で言うところのforumと同じ起源を持っている言葉で、いずれもラテン語の「広場」という意味にたどりつきます。古代ローマでは広場に集まり、裁判を開き、証拠や証人をそろえて弁論を行って判断をしていました。
したがって「広場」とは人々が集まって議論する場所であることろから「フォーラム」の意味をもち、証拠を公開・開示して民衆の判断を仰ぐ場所であることから「法科学」という意味を持ってきたのです。
現在、デジタル・フォレンジックというと、裁判等を念頭に置いたデータ保全技術となります。
よく単なるデータ復旧と混同されることがあるのですが、すこし異なります。
単なるデータ復旧は、誤って削除してしまったり、故障でハードディスクから読みだせなくなった機器からデータをサーベイ(救出)することですが、デジタル・フォレンジックでは、そのデータが法的な証拠書類として成り立つことが重要となります。
例えば、内部からの不正(たとえばデータ流出)が疑われるパソコンがあるとしましょう。場合によっては法的措置も考えられることを想定します。
情報システム部門の社員を呼んでPCの中を探らせるという手もありますが、証拠の保全という意味ではやや弱くなってしまいます。
場合によっては変に触らずにデジタル・フォレンジック会社と連携して証拠保存を行うことを勧めます。
さて、デジタル・フォレンジックを行っている会社に持ち込む前にやるべきことがあります。それは、そのパソコンがいつからそこにあり、この先いつだれがどこに移動したのかを記録することです。
実際の裁判の中ではそのパソコンを使ったのが本当にそのだったのか、持ち運びの過程で、なにか容疑者にとって不利な(あるいは会社にとって有利な)改ざんを行わなかったことを証明する必要がある場合があります。
そこで、そのパソコンがそこにあったことがわかるよう、写真で撮影しておきます。
可能であれば大きな電波時計などをPCの横に置き、日時がわかるような構図で設置状況を示す写真を撮影しておきます。つまり、疑わしい従業員の机の上に置いてあったことを記録します。
加えて、動画を撮影しながら、PCのシリアル番号を撮影し、梱包し、なんらかの封緘(透明なビニールシートなどでくるみ、ガムテープで巻いて継ぎ目にマジックでサインするなど)するところまでを記録するとなお良いでしょう。
デジタル・フォレンジック会社に持ち込む場合は、勝手に開封せずに、デジタル・フォレンジック会社の指示に従います。
しっかりしたデジタル・フォレンジック会社では、開封についても証拠として成り立つように記録を取ります。
宅配便などで配送する場合は、配送した伝票の控えや、ネットなどでわかる当該伝票の配送状況の画面などを記録しておきます。
PCを保全するのと並行し、デジタル・フォレンジック会社に持ち込まないデジタル機器についてもできるだけデータの保全を進めます。
・電子メールや各種利用システムのロックアウトとログの確保
・バックアップデータの保全
・防犯カメラ等の記録の保全
・各種入退室記録
・貸与している社用USB、社用HDD、社用SDカードの記録
・貸与している社用携帯電話
・シュレッダーのゴミ
・FAXの送信記録
・コピー機の記録
社用電子メールや各種利用システムを使用して、情報を外部に流出したりデータを移転させたりすることがあります。
電子メール等はPC内の送受信記録を削除するなど証拠隠滅を図る可能性があります。
不正に気づいたら躊躇せずにパスワードを変更するなどしてロックアウトすることが必要です。
証拠隠滅を図った場合でも、バックアップファイルの中に、重要なファイルが残っている場合があります。
一方でバックアップファイルは運用ルールによって過去数日分しか残さない場合もあります。
気が付かずにそのまま放置していると、バックアップファイル中に重要なファイルが残っていたにもかかわらず、時間が経ってしまって上書きされてしまうこともあります。
防犯カメラも1~2日程度から10日程度で古い情報から削除されてしまう可能性があります。
本人が映っているか否かにかかわらず、データの保全を行います。
タイムカードの他、最近ではICカードや指紋による入退室や顔認証による入退室も徐々に増え始めています。
これらもログファイルは古いものから削除されてゆく可能性があるのでデータの保全を図ります。
会社の経費で購入して貸与している社用USB、社用外付HDD、社用SDカード等を保全します。
社内データを持ち出す場合、社用USB等にデータを書き出して持ち出しておき、同じメーカーの同じモデルのUSBメモリを自分で買ってすり替えてしまうこともあります。
実はこれらの機器の中には必ずシリアル番号が記録されているので、シリアル番号を会社の台帳等に記録する運用にしておけば、こうしたUSBのすり替えが発生するリスクは低減します。
あるいは刑事事件などでは家宅捜査で自宅からUSBメモリが発見された場合、会社の所有物かどうかを判別することができるようになります。
社用携帯電話も重要なデバイスです。
会社で許可していないSNSやメッセンジャーツールを使っている可能性もあります。
あるいはDropBoxやGoogle Driveなどに、ファイル共有ツール等に画像データや録音データを転送している可能性もあります。
社用携帯電話については、通話やメール以外に使用しないのであればいわゆるガラケーを使わせるという方法もあります。
その他、シュレッダーで証拠隠滅を図っている可能性や、FAXで外部にデータを流出させている可能性、会社のコピー機で資料を不正に複写して持ち出している可能性もあります。
シュレッダーの裁断くず、FAXの送受信記録、コピー機の送受信記録等を確保しておきましょう。
複合機の場合、内部にはハードディスクが組み込まれており、古い機種の場合はそこに印刷したデータが残っている場合があります。
最近のコピー機には自動的にデータを再生できないようにする仕組みが組み込まれている場合があるので、まず、当該コピー機の利用を停止(電源を切る)し、メーカーに問合せてデータが残る可能性があるのかどうかを確認し、もしデータが残る可能性がある機種であれば、デジタル・フォレンジック企業に相談します。
デジタル・フォレンジックはハードディスクの復旧技術から発達してきた経緯があります。
ハードディスクの復旧は特殊技術であるとともに、あまり儲からない仕事でしたが、PCの普及あるいはスマホの普及とともに多数の会社が参入するようになりました。
中には技術力が無いのに依頼者の足元を見て法外な要求をする会社もあります。
たとえば協会や研究会などで相互に技術研鑽している会社やIPA等の機関がセキュリティ基準に適合していると認めている会社などから選定する。
・一般社団法人日本データ復旧協会
・特定非営利活動法人デジタル・フォレンジック研究会
・独立行政法人情報処理推進機構(IPA)が公表する情報セキュリティサービス基準適合サービスリスト
こうした会社に所属していない会社で「すぐにディスクを保全しないとデータが消えます」といって契約を急かす会社や、復旧不可でも工賃と称して数十万円に及ぶ高額な費用を請求してくる会社、契約を渋るとすぐに値段を下げる会社などは警戒したほうが良いでしょう。
デジタル・フォレンジック会社を選定したら、サービスメニューをよく確認したうえで、本格的な相談を開始する前にNDA(秘密保持契約)を締結しておきます。
なぜならば、デジタル・フォレンジックを依頼する場合、依頼者の多くは刑事・民事にかかわる問題を抱えているので、秘密保持の締結は必須事項です。
きちんとしたデジタル・フォレンジック会社であればNDAの締結を進んで提案してきます。
デジタル・フォレンジック会社は単にデータを復旧して証拠をリスト化する会社ではありません。依頼会社と共に痕跡を探すパートナーです。
依頼者はできるだけ早く解明を進めたいと考えていますが、デジタル・フォレンジック会社の技術者は何百ギガ、何十テラの断片データの中から痕跡を探さなければなりません。
断片の99.99%はトラブルとは関係のないデータです。
そこで、デジタルフォレンジック会社に向けて、調査のきっかけとなる情報提供をすることが重要となります。
・いつ、どこで何が起こったか
・あるべきなのに無い情報はなにか
・持ち込むまでにそのパソコンでどのような操作をしたのか
・PCに記録されている特徴的なキーワードは何か
このようなことを整理してデジタル・フォレンジック会社の解析エンジニアとミーティングすることが必要となります。
デジタル・フォレンジックは1日や2日で終わるものではありませんから、PCをデジタル・フォレンジック会社に預けたのちにこのような情報をまとめていってもよいでしょう。
幸運にもPCから何らかのキーワードが出てきたら、それを手掛かりにデータを探すことも可能となります。
いつ、どこで、何が起こったかを伝えることは情報を時系列に整理し、関係者の行動に矛盾が無いかを理解するのに役に立ちます。
出社時刻、退社時刻、問題発生時刻等を整理することによって、たとえば電子メールの痕跡を調べる範囲を狭めることが可能になります。
あるいは、正しいPCの運用ではあるべきはずのデータが無い、といったことも消極的な意味で「証拠」になりえます。
たとえば普通に仕事をしていれば、そのPCのイベントビューアに記録されるようなイベントログは削除する必要はありません。
それにもかかわらず、イベントログがすべて削除されている場合等は、削除した日時を特定することにより、その日時にそのPCを操作していた
人物を特定し、なぜそのような操作をしたのかを追求することが可能になります。
あるいは証拠を隠滅するために、PC全体を初期化する場合もあります。
最近のPCには安全に廃棄や譲渡ができるよう、HDDに前利用者の痕跡を残さないような初期化処理が組み込まれている場合があります。
このような場合でも、初期化した日時は残りますので、出退勤記録等とあわせて初期化を実施した人を特定することが可能な場合があります。
PCに記録されている特徴的なキーワードとは、利用者の名前、社用メールアドレス、個人メールアドレス、社員番号、ログインIDといった情報の他、機密情報が格納されている共有サーバーのパス名やコンピュータ名、ファイル名といった情報。
たとえばセクハラ・パワハラ、誹謗中傷の怪文書等で言えば、ハラスメントや誹謗中傷の被害者の名前やメールアドレス、被害者が受信したメール本文中に記録されている特徴的なキーワード(好きだ、馬鹿野郎、死ね等)。
掲示板への書き込み等が疑われる場合は、その掲示板のURLやタイトルなどが考えられます。
データの流出等が考えられる場合は、そのデータの形式(txt,csv,word,xls等)および、大型ファイル転送サイトの利用履歴等について普段から使っていた可能性があるかどうかを調べます。
先に見てきたように、デジタル・フォレンジックは相応の数十万円という金額と数週間という時間がかかります。
しかもそれだけの時間と費用をかけて痕跡を探しても、必要な情報が見つからない場合も多々あります。
また、最近はハードディスクよりもSSDが主流になってきていますが、SSDは構造上「痕跡」が残りにくくなっています。
一方でデジタル・フォレンジックが必要となる状況は、情報流出経路の特定や会社の信頼回復など緊急度が高いケースが多くあります。
つまり技術的には時間と金を掛ければ可能であっても、ビジネス的には手遅れということもあり得ます。
そこで必要となるのが情報漏洩対策ソフトです。
情報漏洩対策ソフトは、社内の様々なPC操作を制限し記録するソフトです。記録したデータはネットワーク上の他のサーバー(もちろんネットワーク設計さえ許せばAWSなどのクラウド上にも配置できます)に保存するので、利用者は操作記録を消去することができません。
社用電子メールの送信を記録したり、添付ファイル名を記録したりすることができます。
USBやCD-R等の記録媒体を挿入した場合、この情報を記録します。記録媒体のシリアルコードも記録しますので、同一物かどうかの判断もできます。(たとえば社用データを盗み取り、同型のUSBメモリとすり替えるといった手口に対して効果を持ちます)
会社で許可したソフトの他に、Dropboxのような社外クラウドと連携するソフトをインストールした痕跡を記録します。(またはインストールできないように設定します)
ファイルのコピー、削除などの記録をはじめとしてブラウザの閲覧等を記録します。
業務と関係のないサイトや機密フォルダにアクセスしたら、それらを制限するとともに、操作本人に対して「アクセスしたことを記録しました」等とアラームを出すことにより、不正操作を抑制することができます。
情報漏洩対策ソフトの導入には数百万円の導入コストがかかります。導入後はパスワード管理や新PCへのインストール管理さえしっかりしておけば、あまり大きな手間がかかる製品ではありません。もしもの場合には迅速に状況を分析することができます。
一方で、デジタルフォレンジックに頼らざるを得なくなった時にも数百万円のお金がかかります。こちらは証拠データが出てくるかどうかは調べてみなければわからず、調査期間も2~4週間程度かかります。
全ての会社においてこうした情報漏洩対策ソフトが必要とは考えませんが、外部へのデータ流出を強く懸念する環境や、社内に派閥などがあり不審な動きが予想される場合などは、抑制効果も含めてこうしたソフトは導入に値するものと考えられます。
