目次

  1. デジタルフォレンジックとは
  2. デジタルフォレンジックの目的
    1. 不正行為の原因究明や訴訟のための証拠収集
    2. サイバー攻撃による情報漏洩などの原因究明
    3. 不正行為や情報漏洩の未然防止
  3. デジタルフォレンジックの種類
    1. コンピュータフォレンジック
    2. モバイルフォレンジック
    3. ネットワークフォレンジック
  4. デジタルフォレンジックのワークフロー
    1. データの保全・収集
    2. データの復元
    3. データの閲覧・解析
    4. レポートの作成
  5. デジタルフォレンジックの事例
    1. カルテル、贈収賄などの企業犯罪
    2. 過労死などの労働事件
    3. 横領などの不適切な金銭の支出
  6. デジタルフォレンジックの注意点
    1. 対象機器の電源をむやみに入れないようにする
    2. フォレンジックベンダーに依頼する
    3. フォレンジックに精通した法律専門家へ相談する
  7. デジタルフォレンジックの限界
    1. 復元の限界
    2. LINEなどのコミュニケーションアプリの保全・収集の限界
    3. コミュニケーションツールの多様化による限界
  8. デジタルフォレンジックは今後一般化する

 デジタルフォレンジックとは、パソコンや携帯電話、ハードディスクなどの記録媒体を調査・解析して、証拠の収集や原因究明を行う技術のことをいいます。

 例えば、賄賂などの企業犯罪が生じた場合や、過労死などの労働事件が発生した場合、横領などの不適切な金銭の支出が生じている場合などに、その証拠の収集のためデジタルフォレンジックが行われます。

 最近では、企業の業務の多くでパソコンが用いられているため、日々膨大な量の電子データが創出され、企業は膨大な電子データを保有しています。

 そのため、ひとたび不正行為が行われたことが明らかになるか、または、行われたことが疑われた場合には、デジタルフォレンジックを行うことによりその証拠の収集に努める企業が増えてきているのです。

デジタルフォレンジックとは
デジタルフォレンジックとは(デザイン:紀井佑輔)

 企業がデジタルフォレンジックを実施する目的はさまざまですが、代表的な目的としては以下の3つが挙げられます。

 最も一般的なデジタルフォレンジックの目的としては、企業において発生した不正行為の原因究明や、その訴訟に備えて証拠を収集することが挙げられます。

 具体的には、不正行為に関連する当事者間のやり取りのメールや、不正行為の内容にかかわる電子データなどをデジタルフォレンジックの過程を通じて発見し、原因究明に役立てたり、訴訟に備えて証拠を収集したりということを行います。

 また、最近では、サイバー攻撃や、従業員による情報の持ち出しによる情報漏洩の原因究明を目的としたデジタルフォレンジックも増えています。

 企業へのサイバー攻撃やサイバーインシデントは、近時、顕著に増加しています。国立研究開発法人情報通信研究機構(NICT)の「NICTER観測レポート2022」によると、サイバー攻撃関連の通信数は、2020年以降に5,000億パケットを超え、2018年の2,169億パケットと比較すると2倍以上の数字で推移しています(参照:NICTER観測レポート2022の公開|国立研究開発法人情報通信研究機構)。

NICTER観測レポート2022の公開|国立研究開発法人情報通信研究機構

出典:NICTER観測レポート2022の公開|国立研究開発法人情報通信研究機構

 そのようなサイバーインシデントがあった際、ネットワークログを解析することにより原因究明を行うことができます。また、従業員による情報の持ち出しといった事案では、当該従業員のパソコンへのアクセスログや操作ログなどを解析することにより原因究明を行うことが可能です。そして、原因究明によって得られた情報をもとに再発防止に向けた対応策の検討なども行われます。

 そのほか、デジタルフォレンジックには「不正行為や情報漏洩の発生を未然に防ぐ」という目的もあります。

 情報漏洩や横領などの不正行為を企む人も、後にしっかりとした調査が行われるとわかっていれば、違法行為を思いとどまる可能性が高まります。そのため不正行為事案が発生した場合に、企業がデジタルフォレンジックを行い、原因究明にあたることを社内・社外に知らせるのもまた重要になります。デジタルフォレンジックは、不正行為などに対する抑止力としても機能するのです。

 デジタルフォレンジックは、デジタルフォレンジック調査を実施する媒体の違いにより、以下の3つの種類のフォレンジックに分けられます。

  1. コンピュータフォレンジック
  2. モバイルフォレンジック
  3. ネットワークフォレンジック

 コンピュータフォレンジックとは、コンピュータを対象として行われるデジタルフォレンジック調査のことです。コンピュータフォレンジックでは、保存されているデータや操作履歴に関するデータなどを対象として調査を実施するのが一般的です。データがすでに消滅している場合や、復元が必要とされる場合には、まずデータの復元を実施し、そのうえでデータの解析を行うこともあります。

 モバイルフォレンジックとは、スマートフォンなどの通信機器を対象として行われるデジタルフォレンジック調査のことです。モバイルフォレンジックでは、基本的に、保存されているデータや通話履歴などを対象として調査が実施されます。特に最近では、LINEやFacebookなどのアプリによるコミュニケーションを調査することが増えています。

 ネットワークフォレンジックとは、サイバー攻撃による情報漏洩が発生した場合に、ネットワーク機器を対象として行われるデジタルフォレンジック調査のことです。ネットワークフォレンジックでは、ネットワークログを調べ、情報漏洩が発生した経緯を特定します。近時、企業に対するサイバー攻撃の事案が増えていることもあり、ネットワークフォレンジックの重要性が高まっているといえます。

 デジタルフォレンジックのワークフローの標準的な指標として、The Electronic Discovery Reference Model(EDRM:電子情報開示参考モデル)があります。米国民事訴訟において行われるeDiscovery(訴訟に関連する電子データなどを開示することを規定した電子証拠開示制度のこと)の作業手順として策定されたもので、デジタルフォレンジックのワークフローを検討するにあたって参考となる指標です。

 以下では、EDRMに基づいたワークフローについて解説します。

【EDRMに基づくデジタルフォレンジックのワークフロー】
 ①データの保全・収集
 ②データの復元
 ③データの閲覧・解析
 ④レポートの作成

 デジタルフォレンジックの対象とするパソコン、携帯電話、または記録媒体が特定された場合、まず、対象機器に保存されている電子データを保全・収集します。

 この保全・収集のプロセスでは、デジタルフォレンジック専門のベンダーに作業を依頼するのが一般的です。訓練を受けたエンジニアがデジタルフォレンジック用のツールを使い、複製された電子データと複製元の電子データの同一性を失わなれないように作業する必要があるためです。

 次に、確認したいデータのうち、削除されたものがあった場合は、復元作業を行います。

 デジタルフォレンジックでは、対象機器内に保存されているデータのうち、確認をしたかったデータが(意図的か否かを問わず)すでに削除されてしまっていることもたびたび発生します。そのような場合には、保全・収集を行ったのちに、データの復元の作業を行います。

 データの復元も保全・収集と同様に、専門のベンダーに作業を依頼します。希望しているデータが復元できるか否かは、対象機器の使用状況や、そもそも記録が残っていたデータなのかなどの諸条件によって異なります。そのため、コストをかけて復元作業を行うかについては事前に慎重に検討する必要があります。

 保全・収集を行い、また、必要に応じて復元を行ったデータは、そのままでは閲覧・解析が困難です。そのため、収集や復元を行ったデータは、閲覧・解析ができる形に処理します。

 処理されたデータは、レビュープラットフォーム(閲覧・解析を行うためのツール)などにアップロードするのが一般的です。そのうえで、弁護士などの専門家や企業の担当者が内容を閲覧・解析し、内容を分析します。

 最後に、レポートを作成します。ただ、レポートの方法は、事案によって形式がさまざまです。

 例えば、調査委員会を設置して調査を行っている事案であれば、調査委員会がまとめる調査報告書において、詳細にレポート(デジタルフォレンジックの対象となった機器や、調査手法、およびその結果などのレポート)を作成します。

 他方、簡易な社内調査におけるデジタルフォレンジックの場合や、対外的に結果を公表することを想定していない場合などは、調査結果についての簡易なレポートに留まることもあります。

 近年では、不正行為の原因究明にあたってデジタルフォレンジックによる調査を行うことが一般化してきています。例えば、以下のような事例でデジタルフォレンジックが用いられます。

 カルテルや贈収賄などの企業犯罪においては、犯罪に関与した従業員間や外部関与者とのやりとりがメールで行われていたり、証拠となる電子ファイルがパソコンや共有サーバー上に残っていたりする場合がしばしばあります。

 このような事案では、関係者のパソコンやサーバー上のデータを保全・収集し、閲覧・解析をして、事案の原因究明を行います。なお、この場合は関係者の人数が多いこともしばしばあるため、大きな事件になれば、数十台規模のパソコンの保全・収集を行うケースもあります。

 過労死などの労働事件においては、亡くなった人の勤務状況を解明するため、デジタルフォレンジックを用いて、過労死により亡くなった人のパソコンの稼働履歴やメールの送受信状況を確認します。     

 最近は業務のほとんどがパソコンやメールで行われているため、過労死などの事件においてデジタルフォレンジックの結果が有力な証拠となるケースが増えています。

 なお、このような事案では、カルテルや贈収賄とは異なり、関係者の人数が多くなることはあまりありません。そのため、数台程度の小規模なデジタルフォレンジック調査になるケースが比較的多く見られます。

 横領などの不適切な金銭の支出が疑われるような事案においても、デジタルフォレンジックが用いられることがあります。

 社内外に共犯者や関係者がいる場合、それらの人とのやりとりがメールで残っている可能性もあります。そのため、このような事案では、基本的に、不正を行ったと思われる人のメールの確認から進められます。

 また、最近では、クラウド型のメールシステムを使用している会社も増えており、そのような場合には、調査対象者に気づかれずに、メールサーバーからメールデータを取得できることもあります。

 前述のように企業がデジタルフォレンジックを実施する事例が増えてきていますが、実施するにあたって注意しなければいけない点もいくつかあります。主なものを解説します。

 対象となる機器の中身を確認しようとして、企業の担当者が、対象機器の電源を入れて中身を確認しようとする場合があります。しかし、対象機器の電源を入れることにより、対象機器の記録に上書きされる恐れもあるので注意が必要です。     

 パソコン内のデータの復元が必要になる事案や、ログの解析が必要になりそうな事案では、特に注意しなければなりません。一般的には、デジタルフォレンジックを依頼するベンダーの担当者が到着するまでは、むやみに対象機器を操作しようとすることは差し控えるべきです。

 前述の対象機器の記録媒体への上書きの問題以外にも、データの保全・収集にあたっては、デジタルフォレンジックに関する専門的な知識や、専用のツールに精通したベンダーの判断が必要になります。

 事案によってはデータの復元が必要となりますが、どのようなデータをどのようにすれば復元できるかは、復元作業に精通したベンダーでなければ判断が困難です。このような作業をフォレンジックベンダーに依頼せず、自社のIT部門のみで実施しようとしてしまった場合、保全・収集できたはずのデータを毀損する可能性もあります。

 そのため、後述のフォレンジックに精通した法律専門家とも相談しながら、適切なフォレンジックベンダーへの依頼を行っていくのが肝要です。

 デジタルフォレンジックを実施する場合には、必ずしもパソコン内にあるすべてのデータを処理する必要はなく、対象範囲を調査に必要な範囲として合理的に限定したうえで調査を行います。そのほうが、対象企業が調査期間中に効率的に業務を進められるためです。

 もっとも、どの範囲でどのように限定するのが合理的であるかを決めるときには、法律的な判断が伴います。また、調査対象者がプライベートで使用している対象機器を調査できるかなど、デジタルフォレンジックを実施する前提としての法的判断も必要となるケースもあります。

 そのため、調査範囲の問題に関しては、フォレンジックベンダーではなく、法律の専門家に相談する必要があります。

 デジタルフォレンジック調査を実施すれば、パソコンやモバイル内にあるすべてのデータが保全・収集でき、復元も可能であるかのように思われがちです。しかし実際には、デジタルフォレンジックにも以下の通り一定の限界があります。

 削除されてしまったデータであっても、フォレンジックベンダーに依頼すると復元を行うことができますが、すべてのケースで復元が可能なわけではありません。パソコンやモバイル機器が初期化されてしまっている場合や、何度も上書き処理されてしまっている場合などには、復元が困難となります。

 最近では、メール以外にもLINEなどのコミュニケーションアプリが使用されることも多くなってきており、これらアプリのデータの保全・収集が原因究明にあたって重要となる事案が増えています。

 しかし、コミュニケーションアプリのデータの保全・収集においても一定の限界があることに留意が必要です。アプリ自体が削除されてしまっている場合には、端末内のデータも削除されており、データの復元が困難になります。

 新型コロナウイルスの蔓延をきっかけに、多くの企業においてリモートワークが普及するとともに、業務で使用するコミュニケーションツールが多様化しました。そのため、メールのデジタルフォレンジック調査だけでは原因究明にあたって一定の限界があります。

 今後は、メールだけではなく、オンラインミーティングツールやチャットツールなど、さまざまなコミュニケーションツールのうち、どのようなものが業務で使用されているかを的確に把握しながら調査範囲を設定することが求められます。

 企業の業務の多くの場面においてパソコンが用いられ、日々の業務において膨大な量の電子データが創出されるようになり、企業は膨大な電子データを保有するようになりました。

 そのため、今後は、企業にとってデジタルフォレンジックがより一般化するものと思われます。本記事がそのような企業の一助となれば幸いです。