不正アクセスや情報漏えいなどが発覚した場合、セキュリティ体制の強化やコンプライアンス遵守、ないし労働問題に対して客観的に対応するため、PCのログを管理・調査することが増えます。

しかし、PCのログ調査は膨大な時間と労力を要し、調査に必要な専門知識も必要となります。また法執行機関などにログデータを証拠として提出する場合、それを法的証拠として機能するよう対処する必要性も生じます。

そこで、本記事では、PCのログ調査によって実現できること、ないし法的証拠としてログデータを収集する調査手法について、詳しくご紹介します。

これにより、PCのログ調査の必要性や、調査のために必要なスキルや知識について理解を深めることができます。また、PCのログ調査がどのようにビジネスに貢献するかについても触れていますので、是非参考にしてください。

PCの操作ログとは？

PC操作ログとは、PCの利用者が行った操作を記録したものです。

一般的に、操作ログには以下のような情報が含まれます。

PCの操作ログは社員がどの業務にどれくらいの時間を費やしているかを分析し、業務効率化につなげるだけでなく、不正な情報持ち出しや機密情報の流出を早期に発見し、リスクの軽減が可能です。特定のファイルにアクセスした人物やその時間を追跡することで、万が一情報漏洩が発生した際にも迅速に原因を特定できます。

操作ログの具体例としては、営業担当者の一日ごとの業務内容（訪問準備や資料作成、顧客とのメールのやりとりなど）の記録、エンジニアが使用した開発ツールやその利用時間の記録などが挙げられます。

PCの操作ログの種類

PCの操作ログといっても、どの操作を実行した結果のログか次第で、ログの種類を分けることができます。PCの操作ログの種類は以下のようなものがあります。

• 操作ログ(PCの操作履歴やサーバーへのアクセス履歴)
• 通信ログ(PCとサーバ間の通信履歴)
• 認証ログ(PCからネットワークやシステムにログインした履歴)
• セットアップログ(Windows Update によるシステムの更新の履歴)
• イベントログ(システム内で発生したイベントの履歴)
• 設定変更ログ(システムやアプリの管理画面での設定変更履歴)
• エラーログ(システムやアプリなどでエラーが発生した履歴)　など
• 印刷ログ（PCデータの印刷履歴がわかるログ）

ログの種類によって見られる情報が異なるため、可能な限り多くの種類のログを取得・管理しておくことをおすすめします。

PCの操作ログを取得しておくメリット

PCの操作ログをツールなどを使って取得しておくメリットは以下の通りです。

• 情報漏えいが発生した時に証拠として利用できる可能性がある
• 社員の勤務状況を簡単に把握できる(テレワーク・出張など)
• セキュリティ対策を強化できる
• 管理者の業務効率化ができる
• 内部統制の強化

情報漏えいが発生した時に証拠として利用できる可能性がある

PC操作ログを取得しておくことで、万が一情報漏えいが発生した際、漏えいの経路や漏洩した手口を特定するための重要な証拠となります。操作ログには、いつ、どのファイルにアクセスしたか、誰がどのデータを操作したかといった情報が記録されているため、漏えい元を明確に特定できる可能性があります。たとえば、あるファイルが特定の日時に外部に送信された場合、その直前の操作ログを確認することで、どのユーザーがそのファイルに関与したかを確認できます。また、不正なデータ持ち出しや意図的な削除が行われた場合にも、操作ログをもとに問題行為が行われたタイミングや経緯を把握できます。このように、操作ログはリスク発生時の原因究明に役立つだけでなく、法的証拠としても活用可能なことがあります。

退職者のデータ・情報持ち出しで会社が取るべき対応とは？

2024.3.11

近年IT化が進み、個人情報や秘密情報をデータ化することが当たり前となり、USBメモリなどの機器を使用し、簡単に外部への持ち運びが可能になりました。 しかし退職者が会社のデータ持ち出しを行い、秘密情報の漏洩や悪用が発生されるケースがあり

社員の勤務状況を簡単に把握できる(テレワーク・出張など)

PC操作ログを取得しておけば、各社員の勤務状況を正確に把握できます。例えば、社員がPCを使用した時間帯や、アクセスしたファイル、利用したアプリケーションの種類などを確認することで、業務開始や終了の時間、勤務中の活動内容を把握できます。これにより、テレワークや出張など離れた場所で働く社員の勤務時間や業務進捗を確認でき、組織全体の業務の可視化が進みます。また、勤務状況の把握に基づいて業務負担を調整し、業務効率の向上や過剰労働の予防も可能となります。

PCログを活用した勤怠改ざんの確認と未払い残業代請求に向けたフォレンジック調査を解説

2024.9.17

残業代の不払い問題が深刻化する中、企業や従業員の間で勤怠データの改ざんが問題視されています。特に、PCログを改ざんすることで、労働時間が正確に記録されず、従業員が本来受け取るべき残業代が支払われないケースが多発しています。 フォレンジ

労務管理者の業務効率化ができる

管理者は、操作ログをもとに社員の作業内容や作業時間を把握できるため、個別の業務確認や報告書の作成にかかる時間を削減できます。たとえば、社員ごとの作業内容をまとめて把握し、業務の進捗や問題点を一目で確認できるようにすれば、直接的なやりとりを減らし、管理の負担が軽減されます。

また、PC操作ログによって得られるデータを分析し、業務のボトルネックや不要なタスクを特定すれば、業務プロセス全体の見直しや改善を図ることができます。こうした改善により、管理者が本来の業務に注力でき、より効率的な組織運営が可能となります。

内部統制の強化

内部統制とは、企業活動の透明性を確保し、法令遵守や業務の適正性を維持するための管理体制を指します。操作ログを取得し、社員の操作内容を記録することで、不正や職務怠慢・情報持ち出しといった不適切な行動がないかを定期的に確認でき、組織全体でのコンプライアンス向上につながります。

たとえば、特定のデータにアクセスできる権限を持つ社員が意図的に不正な操作を行った場合、操作ログに記録されたデータをもとに迅速な対処が可能です。また、監査などの際にも操作ログがあることで、業務手順が適切に行われているかを証明できます。このように操作ログは、企業のガバナンス向上やリスク管理の徹底に貢献し、企業全体の信頼性を高める役割を果たします。

セキュリティ対策を強化できる

操作ログには、ファイルアクセスやシステムへのログイン・ログアウト履歴、インターネット接続状況など、さまざまな行動記録が含まれており、不審な行動や異常なアクセスが発生した場合に迅速に発見する手がかりとなります。

たとえば、通常勤務時間外のアクセスや、不特定多数のファイルへの急激なアクセスが発生した場合、操作ログをもとに不正な行動を発見し、速やかに対策を講じることが可能です。また、外部からのサイバー攻撃や内部の不正行為に対しても、リアルタイムでの監視や警告機能を導入することで、被害を未然に防ぐことができ、企業全体のセキュリティレベルが向上します。

PCの操作ログを取得する方法

PC操作ログの取得方法は以下があります。ただし、ログは取得するだけでは損害賠償請求や懲戒解雇を要求するための証拠にはならないため、証拠をもとに調査する必要があります。

調査する場合に、自社調査では客観的に見て証拠能力がないと判断される可能性が高いです。適正な証拠として判断してもらうためには、調査会社に相談して調査してもらう必要があります。もし調査ログを取得できている状態で、社内不正や退職者の情報持ち出しなどが発覚した時は、調査会社に相談して調査するようにしてください。

• Windowsのイベントビューアーを活用して取得する
• Macのコンソールを利用する
• PowerShellやシェルスクリプトでログを取得する
• ログの管理ツール・システムを導入する

Windowsのイベントビューアーを活用して取得する

Windowsのパソコンを使用している場合に、「イベントビューアー」の機能を利用して操作ログを取得することができます。Windowsの「イベントビューアー」で調査できるログは次のとおりです。

• Application：インストール、強制終了などのアプリケーションに関するログ
• セキュリティ：ログインの成功・失敗などのセキュリティに関するログ
• Setup：Windows Update によるシステムの更新に関するログ
• システム：Windows サービスの起動・停止や、ハードウェア障害などのシステム全体のログ
• Forwarded Events：転送されたイベント（リモート接続時）のログ

アプリ一覧からイベントビューアーを起動し、保存されているログを確認することができます。

操作ログを取得したいPCのOSがWindows10の場合「イベントビューアー」で操作ログを収集することができます。

イベントビューアーの起動方法

Windowsのイベントビューアーを起動する手順は以下のとおりです。

• Windows 11/10の場合
  1. スタートメニューを開き、検索バーに「eventvwr.msc」と入力します。
  2. 検索結果から「イベントビューアー」をクリックします。
• Windows 8/8.1の場合
  1. スタート画面を開き、「コントロールパネル」をクリックします。
  2. 「システムとセキュリティ」をクリックします。
  3. 「管理ツール」をクリックします。
  4. 「イベントビューアー」をクリックします。
  5. イベントビューアーが起動します。

イベントビューアー起動後の操作方法

Windowsのイベントビューアーの操作方法は以下のとおりです。

1. イベントビューアーを起動します。
2. 確認したいログを選択します。
3. イベントをクリックして、イベントの詳細を表示します。

イベントの詳細を確認することで、セキュリティ侵害の兆候を確認することもできます（イベントの詳細には、イベントの日時、イベントのソース、イベントの種類、イベントの説明が記載されています）。

なお、セキュリティ侵害の兆候としてよく見られるイベントには、次のようなものがあります。

• 不正なユーザーアカウントの作成または変更
• 不正なアクセスが行われたファイルやフォルダ
• ファイアウォールやIPSがブロックしたインシデント
• 未知のソフトウェアやマルウェアのインストール
• アカウントのパスワードが変更された
• システムの構成が変更された
• その他のセキュリティ関連のイベント

これらのイベントは、セキュリティ侵害の兆候のほんの一例です。セキュリティ侵害の兆候を特定するためには、イベントビューアーを定期的にチェックし、異常なイベントを特定することが重要です。異常なイベントが見つかった場合は、すぐに調査し、適切な措置を講じることが重要です。

確認したいイベントを選択後は、右クリックメニューから「すべてのイベントに名前をつけて保存」を選ぶことでログを保存、確認できます。

しかし、保存期間は事前に設定されているため、保存期間を過ぎている場合はログを確認できないため注意が必要です。

Macのコンソールを利用する

Macには「コンソール」というログ確認ツールが標準搭載されており、以下の手順でシステムやアプリケーションの動作に関する操作ログを確認できます。

1. Finderを開き、「アプリケーション」 、「ユーティリティ」フォルダに移動する
2. 「コンソール」アプリをダブルクリックして起動する
3. コンソールが開いたら、左側の「ログリスト」から「システム」「ユーザー」など任意のログを選択する

ログリストのシステムログには、システム起動・終了、エラー、警告などが記録されており、PC全体の動作やトラブルを確認できます。次に「ユーザー」からは特定のアプリケーションの起動や終了に関する情報、ファイルの操作履歴など、ユーザーが行ったアクションが確認できます。また「クラッシュレポート」にはシステムやアプリケーションのクラッシュや問題が発生した際の詳細な情報があるため、必要なログを選択し、「ファイル」の「保存」からテキストファイルで保存しておきましょう。

Macのログから確認できる内容は？取得した操作履歴から不正アクセスが発覚した場合の対処法を解説

2024.3.5

Macの操作ログには、システムやアプリケーションの動作に関する情報が記録されています。Macの操作ログから異常な値やパターンが検出された場合、サイバー攻撃や社内不正を目的とした不正アクセスの可能性も考えられます。サイバーインシデントによって

PowerShellやシェルスクリプトでログを取得する

Windows環境ではPowerShell、Mac環境ではシェルスクリプトを利用して操作ログを取得できます。以下に、それぞれのPC環境でログ（システム、アプリケーション、セキュリティなど）を取得する例を示します。

Windowsの場合

1. スタートメニューから「PowerShell」を検索し、「管理者として実行」を選択して起動
2. システムログを取得したい場合、Get-EventLog -LogName System -Newest 100 | Out-File -FilePath “C:\Logs\SystemLog.txt”を入力する
3. アプリケーションログを取得したい場合、Get-EventLog -LogName Application -Newest 100 | Out-File -FilePath “C:\Logs\ApplicationLog.txt”を入力する
4. セキュリティログを取得したい場合、Get-EventLog -LogName Security -Newest 100 | Out-File -FilePath “C:\Logs\SecurityLog.txt”を入力する
5. Out-Fileでログをファイルとして保存する

Macの場合

1. Finderで「アプリケーション」、「ユーティリティ」、「ターミナル」の順で開く
2. ターミナルが開いたら、ホームディレクトリ（~）に移動する
3. 「log_backup_mac.sh」という名前で新しいシェルスクリプトファイルを作成する
4. 作成したスクリプトファイルをテキストエディタで開く
5. ファイルが開いたら、以下のスクリプトをコピーして貼り付ける#!/bin/bash
   # ログディレクトリ
   LOG_DIR=”/var/log”
   OUTPUT_DIR=”$HOME/log_backup_mac”# 保存先ディレクトリを作成
   mkdir -p $OUTPUT_DIR# system.log を取得
   cat $LOG_DIR/system.log | tail -n 100 > $OUTPUT_DIR/system_log.txt# install.log（アプリインストールの履歴など）を取得
   cat $LOG_DIR/install.log | tail -n 100 > $OUTPUT_DIR/install_log.txtecho “ログが $OUTPUT_DIR に保存されました。”
6. テキストエディタを終了してファイルを保存する
7. chmod +x log_backup_mac.shと入力し、スクリプトに実行権限を付与する
8. スクリプトを実行して操作ログを取得します
9. Finderでホームディレクトリを開き、「log_backup_mac」フォルダが作成されているか確認する

ログの管理ツール・システムを導入する

企業がログを管理するためには、ログの管理ツール・システムを導入するのが有効になります。ログの管理ツール・システムを導入することで、サーバーや社内PCの操作ログの情報を一括で管理できます。

企業が管理しているパソコンやデータ量はとても多く、ツールやシステムなしでログを取得・管理しようとすると膨大な時間と労力がかかります。そのうえ、管理ミスで正確なログを取得できない可能性があります。

代表的なログ管理ツールには、次のようなものがあります。

• Splunk
• ELK Stack
• LogRhythm
• ArcSight
• QRadar
• McAfee SIEM
• IBM QRadar
• RSA NetWitness
• FireEye HX
• Symantec Security Information and Event Management (SIEM)

これらのツールは、それぞれに特徴や機能が異なります。そのため、組織の規模やニーズに合わせて、適切なツールを選択することが重要です。

操作ログ解析ツールは、セキュリティ侵害の検出だけでなく、システムやアプリケーションのパフォーマンスの監視や、ユーザーの行動分析にも役立ちます。そのため、セキュリティ対策を強化するためには、操作ログ解析ツールを導入することが重要です。

ただし、ツールによって操作方法が異なるため、操作方法の詳細については、各ツールの説明を参照してください。

PCの操作ログを取得・管理するときの注意点

PCの操作ログを取得・管理するときの注意点は以下のようなものがあります。

• システムの時刻を統一しておく
• PCの操作ログを保管しバックアップを取っておく
• PCの操作ログの取り扱いに注意する
• PCの操作ログの不正利用をしない・させない

システムの時刻を統一しておく

PCの操作ログを管理するときは、パソコンやサーバー、管理システムなどのシステムの時刻を統一しておくことが必須になります。

ログを取得していたとしても、システムごとに時刻がばらばらだと正確な操作ログを取得できているとは言えません。ログの調査結果の信頼性に影響が出る可能性が高いので、必ず時刻を統一しておきましょう。

PCの操作ログを保管しバックアップを取っておく

ツールから取得したログは、削除・上書きされないように定期的に保管し、バックアップしておきましょう。デジタルデータは誰でも簡単に書き換え・削除することが可能です。

操作ログが書き換えられてしまうと、社内不正などが発生した時の証拠として利用できなくなる可能性がありますので必ずバックアップを取っておくようにしてください。

PCの操作ログの取り扱いに注意する

PCの操作ログを取得する場合には、個人情報や閲覧履歴など、本来誰かに見られる可能性が少ない情報も取得して、保管することになります。

事前に社内規則でログの監視ツールを利用していることを周知する必要があります。周知しておかなければ、社員のプライバシー侵害のトラブルに発展する可能性があります。

PCの操作ログを取得する、または利用して調査を行う場合には、ログの取り扱いに細心の注意を払う必要があります。

PCの操作ログの不正利用をしない・させない

PCログの不正利用を防ぐには、アクセス権限の設定と利用制限が重要です。操作ログには機密情報や個人の行動記録が含まれるため、これを業務目的以外で利用することは避けなければなりません。ログへのアクセスは、管理業務に必要な最低限の担当者だけに限定し、利用目的や範囲を明確に定めます。

権限を持たない従業員がログにアクセスできないよう、システム上で厳密な権限設定を行うことで、意図しない不正利用のリスクを抑えられます。また、操作ログの取得と使用目的を組織内で明確に示し、全従業員に遵守させることで、不正利用の防止と信頼性の高いログ管理を実現します。

自力でPCの操作ログを取得・確認できない場合の対処法

ログデータを自力で取得しようとすると、証拠の完全性・同一性を証明することが困難になり、場合によっては「証拠能力」を失う恐れもあるため、法執行機関にログを提出する際は、自力でのログデータの取得を推奨されません。

不正が疑われるログが確認できた場合、ログをより詳細に分析することで、「悪意ある人物がどのようにシステムに侵入・操作したか」あるいは「どのようなデータにアクセスしたか」などを特定することができます。また、この情報をもとに、システムの脆弱性を修正したり、アクセス制御を強化したりなど対策を講じることで、今後のインシデントを防ぐことができます。

フォレンジックサービスを利用する

公的機関などに電子データを証拠として提出する予定の場合は、フォレンジック調査に対応している調査会社に相談をすることを検討してください。

フォレンジック調査では、専門のエンジニアによるPCの操作ログ調査を行うだけでなく、不正な操作や不正アクセス、その他のサイバー攻撃によって被害を受けた企業や個人が、法的証拠を押さえるために実施するデジタル鑑識を受けることができます。

また、その調査レポートは裁判での法的証拠として使用することができるため、調査だけでなくその後の法的対応という面でも有効に活用ができます。

フォレンジックとは

「フォレンジック（フォレンジクス）調査」とは、発生したデジタルインシデントに対し、PC・HDD・スマホといった電子機器や記録媒体、もしくはネットワークの中に残存する電磁的記録（デジタルデータ）から、「正しい手続き」で不正行為の事実確認を行ったり、サイバー攻撃・不正アクセスなどの被害状況を割り出したりする調査手法を指します。

そもそも、フォレンジック (forensic)は「法廷の」という意味を持ち、実際に裁判上でも法的効力を持つ調査手法です。そのため、フォレンジック調査の結果は、単なる事実確認だけでなく、法廷などにおける公的な調査資料としても活用することができます。このことから、日本の警察では、2006年以降、デジタル・フォレンジックを「犯罪の立証のための電磁的記録の解析技術及びその手続き」（警察自書）と定義付けています。

なお、フォレンジック調査は、裁判上での証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。

フォレンジック調査とは？費用や期間などからおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年11月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジ

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

まとめ

今回は、PCのログを調査することで出来ることや、ログの収集方法について紹介しました。

ログの調査に対応している企業は、不正行為の調査だけでなく、業務効率化やウイルス感染調査にも対応しています。また、ログの取得方法には個人で出来るものから、調査会社によるフォレンジック調査まであり、調査可能な機器の台数や精度も異なります。

自身の必要なものに適している調査方法を見極め、より確実な調査を希望する場合はPCログの調査に対応している調査会社に相談してみてください。