通常、ログは2~3週間で消えてしまうことが多いです。自力で収集することもできますが、莫大な量のログを自力で調査は、時間とリソースがかかるため、ログの調査は専門の調査会社に依頼することをおすすめします。
そこで、本記事では、PCのログ調査によって実現できること、ないし法的証拠としてログデータを収集する調査手法について、詳しくご紹介します。
PC操作ログとは、PCの利用者が行った操作を記録したもの
PC操作ログとは、PCの利用者が行った操作を記録したものです。
一般的に、操作ログには以下のような情報が含まれます。
- ユーザーのログインとログアウトの情報
- ファイルやフォルダの作成、変更、削除などの操作
- ソフトウェアの起動、終了、設定変更などの操作
- ネットワーク接続の確立や切断、通信の送受信などの操作
- システムのエラー、警告メッセージ、セキュリティイベントの記録
- リモートアクセスなどの情報
操作ログの具体例としては、営業担当者の一日ごとの業務内容(訪問準備や資料作成、顧客とのメールのやりとりなど)の記録、エンジニアが使用した開発ツールやその利用時間の記録などが挙げられます。
PCの操作ログを調べるにはフォレンジック調査が有効です。
フォレンジック調査会社を選ぶなら、フォレンジック調査会社の一覧リストをご確認ください。
PCの操作ログの種類
PCの操作ログといっても、どの操作を実行した結果のログか次第で、ログの種類を分けることができます。PCの操作ログの種類は以下のようなものがあります。
- 操作ログ(PCの操作履歴やサーバーへのアクセス履歴)
- 通信ログ(PCとサーバ間の通信履歴)
- 認証ログ(PCからネットワークやシステムにログインした履歴)
- セットアップログ(Windows Update によるシステムの更新の履歴)
- イベントログ(システム内で発生したイベントの履歴)
- 設定変更ログ(システムやアプリの管理画面での設定変更履歴)
- エラーログ(システムやアプリなどでエラーが発生した履歴) など
- 印刷ログ(PCデータの印刷履歴がわかるログ)
PCの操作ログは社員がどの業務にどれくらいの時間を費やしているかを分析し、業務効率化につなげるだけでなく、不正な情報持ち出しや機密情報の流出を早期に発見し、リスクの軽減が可能です。特定のファイルにアクセスした人物やその時間を追跡することで、万が一情報漏洩が発生した際にも迅速に原因を特定できます。
ログの種類によって見られる情報が異なるため、可能な限り多くの種類のログを取得・管理しておくことをおすすめします。
PCの操作ログを調査する方法
PC操作ログの取得方法は以下があります。ただし、ログは取得するだけでは損害賠償請求や懲戒解雇を要求するための証拠にはならないため、証拠をもとに調査する必要があります。
調査する場合に、自社調査では客観的に見て証拠能力がないと判断される可能性が高いです。もし、調査ログを取得できている状態で、社内不正や退職者の情報持ち出しなどが発覚した時は、調査会社に相談して調査するようにしてください。
Windowsのイベントビューアーを活用して取得する
Windowsのパソコンを使用している場合に、「イベントビューアー」の機能を利用して操作ログを取得することができます。Windowsの「イベントビューアー」で調査できるログは次のとおりです。
- Application:インストール、強制終了などのアプリケーションに関するログ
- セキュリティ:ログインの成功・失敗などのセキュリティに関するログ
- Setup:Windows Update によるシステムの更新に関するログ
- システム:Windows サービスの起動・停止や、ハードウェア障害などのシステム全体のログ
- Forwarded Events:転送されたイベント(リモート接続時)のログ
アプリ一覧からイベントビューアーを起動し、保存されているログを確認することができます。
操作ログを取得したいPCのOSがWindows10の場合「イベントビューアー」で操作ログを収集することができます。
イベントビューアーの起動方法
Windowsのイベントビューアーを起動する手順は以下のとおりです。
- Windows 11/10の場合
- スタートメニューを開き、検索バーに「eventvwr.msc」と入力します。
- 検索結果から「イベントビューアー」をクリックします。
- 左側のメニューから「Windowsログ」を展開します。
- 「アプリケーション」「セキュリティ」「システム」などの項目を選択して、それぞれのログを確認します。
- Windows 8/8.1の場合
- スタート画面を開き、「コントロールパネル」をクリックします。
- 「システムとセキュリティ」をクリックします。
- 「管理ツール」をクリックします。
- 「イベントビューアー」をクリックします。
- イベントビューアーが起動します。
イベントビューアー起動後の操作方法
Windowsのイベントビューアーの操作方法は以下のとおりです。
- イベントビューアーを起動します。
- 確認したいログを選択します。
- イベントをクリックして、イベントの詳細を表示します。
イベントの詳細を確認することで、セキュリティ侵害の兆候を確認することもできます(イベントの詳細には、イベントの日時、イベントのソース、イベントの種類、イベントの説明が記載されています)。
なお、セキュリティ侵害の兆候としてよく見られるイベントには、次のようなものがあります。
- 不正なユーザーアカウントの作成または変更
- 不正なアクセスが行われたファイルやフォルダ
- ファイアウォールやIPSがブロックしたインシデント
- 未知のソフトウェアやマルウェアのインストール
- アカウントのパスワードが変更された
- システムの構成が変更された
- その他のセキュリティ関連のイベント
確認したいイベントを選択後は、右クリックメニューから「すべてのイベントに名前をつけて保存」を選ぶことでログを保存、確認できます。
しかし、保存期間は事前に設定されているため、保存期間を過ぎている場合はログを確認できないため注意が必要です。
Macのコンソールを利用する
Macには「コンソール」というログ確認ツールが標準搭載されており、以下の手順でシステムやアプリケーションの動作に関する操作ログを確認できます。
- Finderを開き、「アプリケーション」 、「ユーティリティ」フォルダに移動する
- 「コンソール」アプリをダブルクリックして起動する
- コンソールが開いたら、左側の「ログリスト」から「システム」「ユーザー」など任意のログを選択する
ログリストのシステムログには、システム起動・終了、エラー、警告などが記録されており、PC全体の動作やトラブルを確認できます。次に「ユーザー」からは特定のアプリケーションの起動や終了に関する情報、ファイルの操作履歴など、ユーザーが行ったアクションが確認できます。また「クラッシュレポート」にはシステムやアプリケーションのクラッシュや問題が発生した際の詳細な情報があるため、必要なログを選択し、「ファイル」の「保存」からテキストファイルで保存しておきましょう。
PowerShellやシェルスクリプトでログを取得する
Windows環境ではPowerShell、Mac環境ではシェルスクリプトを利用して操作ログを取得できます。以下に、それぞれのPC環境でログ(システム、アプリケーション、セキュリティなど)を取得する例を示します。
Windowsの場合
- スタートメニューから「PowerShell」を検索し、「管理者として実行」を選択して起動
- システムログを取得したい場合、Get-EventLog -LogName System -Newest 100 | Out-File -FilePath “C:\Logs\SystemLog.txt”を入力する
- アプリケーションログを取得したい場合、Get-EventLog -LogName Application -Newest 100 | Out-File -FilePath “C:\Logs\ApplicationLog.txt”を入力する
- セキュリティログを取得したい場合、Get-EventLog -LogName Security -Newest 100 | Out-File -FilePath “C:\Logs\SecurityLog.txt”を入力する
- Out-Fileでログをファイルとして保存する
Macの場合
- Finderで「アプリケーション」、「ユーティリティ」、「ターミナル」の順で開く
- ターミナルが開いたら、ホームディレクトリ(~)に移動する
- 「log_backup_mac.sh」という名前で新しいシェルスクリプトファイルを作成する
- 作成したスクリプトファイルをテキストエディタで開く
- ファイルが開いたら、以下のスクリプトをコピーして貼り付ける#!/bin/bash
# ログディレクトリ
LOG_DIR=”/var/log”
OUTPUT_DIR=”$HOME/log_backup_mac”# 保存先ディレクトリを作成
mkdir -p $OUTPUT_DIR# system.log を取得
cat $LOG_DIR/system.log | tail -n 100 > $OUTPUT_DIR/system_log.txt# install.log(アプリインストールの履歴など)を取得
cat $LOG_DIR/install.log | tail -n 100 > $OUTPUT_DIR/install_log.txtecho “ログが $OUTPUT_DIR に保存されました。”
- テキストエディタを終了してファイルを保存する
- chmod +x log_backup_mac.shと入力し、スクリプトに実行権限を付与する
- スクリプトを実行して操作ログを取得します
- Finderでホームディレクトリを開き、「log_backup_mac」フォルダが作成されているか確認する
企業がログを管理するためには、ログの管理ツール・システムを導入するのが有効になります。ログの管理ツール・システムを導入することで、サーバーや社内PCの操作ログの情報を一括で管理できます。
企業が管理しているパソコンやデータ量はとても多く、ツールやシステムなしでログを取得・管理しようとすると膨大な時間と労力がかかります。そのうえ、管理ミスで正確なログを取得できない可能性があります。
代表的なログ管理ツールには、次のようなものがあります。
- Splunk
- ELK Stack
- LogRhythm
- ArcSight
- QRadar
- McAfee SIEM
- IBM QRadar
- RSA NetWitness
- FireEye HX
- Symantec Security Information and Event Management (SIEM)
これらのツールは、それぞれに特徴や機能が異なります。そのため、組織の規模やニーズに合わせて、適切なツールを選択することが重要です。
操作ログ解析ツールは、セキュリティ侵害の検出だけでなく、システムやアプリケーションのパフォーマンスの監視や、ユーザーの行動分析にも役立ちます。そのため、セキュリティ対策を強化するためには、操作ログ解析ツールを導入することが重要です。
ただし、ツールによって操作方法が異なるため、操作方法の詳細については、各ツールの説明を参照してください。
フォレンジック調査会社に依頼するログデータを自力で取得しようとすると、証拠の完全性・同一性を証明することが困難になり、場合によっては「証拠能力」を失う恐れもあるため、法執行機関にログを提出する際は、自力でのログデータの取得を推奨されません。
公的機関などに電子データを証拠として提出する予定の場合は、フォレンジック調査に対応している調査会社に相談をすることを検討してください。
フォレンジック調査では、専門のエンジニアによるPCの操作ログ調査を行うだけでなく、不正な操作や不正アクセス、その他のサイバー攻撃によって被害を受けた企業や個人が、法的証拠を押さえるために実施するデジタル鑑識を受けることができます。
また、その調査レポートは裁判での法的証拠として使用することができるため、調査だけでなくその後の法的対応という面でも有効に活用ができます。
PC操作ログの調査におすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 |
★相談・見積り無料 まずはご相談をおすすめします |
| 調査対象 |
デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス |
●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能 |
| 特長 |
✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 |
運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 |
24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料) |
>フォレンジック調査会社の一覧リストはこちら
PCの操作ログを取得・管理するときの注意点
PCの操作ログを取得・管理するときの注意点は以下のようなものがあります。
- システムの時刻を統一しておく
- PCの操作ログを保管しバックアップを取っておく
- PCの操作ログの取り扱いに注意する
- PCの操作ログの不正利用をしない・させない
システムの時刻を統一しておく
PCの操作ログを管理するときは、パソコンやサーバー、管理システムなどのシステムの時刻を統一しておくことが必須になります。
ログを取得していたとしても、システムごとに時刻がばらばらだと正確な操作ログを取得できているとは言えません。ログの調査結果の信頼性に影響が出る可能性が高いので、必ず時刻を統一しておきましょう。
PCの操作ログを保管しバックアップを取っておく
ツールから取得したログは、削除・上書きされないように定期的に保管し、バックアップしておきましょう。デジタルデータは誰でも簡単に書き換え・削除することが可能です。
操作ログが書き換えられてしまうと、社内不正などが発生した時の証拠として利用できなくなる可能性がありますので必ずバックアップを取っておくようにしてください。
PCの操作ログの取り扱いに注意する
PCの操作ログを取得する場合には、個人情報や閲覧履歴など、本来誰かに見られる可能性が少ない情報も取得して、保管することになります。
事前に社内規則でログの監視ツールを利用していることを周知する必要があります。周知しておかなければ、社員のプライバシー侵害のトラブルに発展する可能性があります。
PCの操作ログを取得する、または利用して調査を行う場合には、ログの取り扱いに細心の注意を払う必要があります。
PCの操作ログの不正利用をしない・させない
PCログの不正利用を防ぐには、アクセス権限の設定と利用制限が重要です。操作ログには機密情報や個人の行動記録が含まれるため、これを業務目的以外で利用することは避けなければなりません。ログへのアクセスは、管理業務に必要な最低限の担当者だけに限定し、利用目的や範囲を明確に定めます。
権限を持たない従業員がログにアクセスできないよう、システム上で厳密な権限設定を行うことで、意図しない不正利用のリスクを抑えられます。また、操作ログの取得と使用目的を組織内で明確に示し、全従業員に遵守させることで、不正利用の防止と信頼性の高いログ管理を実現します。
PCの操作ログを取得しておくメリット
PCの操作ログをツールなどを使って取得しておくメリットは以下の通りです。
- 情報漏えいが発生した時に証拠として利用できる可能性がある
- 社員の勤務状況を簡単に把握できる(テレワーク・出張など)
- セキュリティ対策を強化できる
- 管理者の業務効率化ができる
- 内部統制の強化
情報漏えいが発生した時に証拠として利用できる可能性がある
PC操作ログを取得しておくことで、万が一情報漏えいが発生した際、漏えいの経路や漏洩した手口を特定するための重要な証拠となります。操作ログには、いつ、どのファイルにアクセスしたか、誰がどのデータを操作したかといった情報が記録されているため、漏えい元を明確に特定できる可能性があります。たとえば、あるファイルが特定の日時に外部に送信された場合、その直前の操作ログを確認することで、どのユーザーがそのファイルに関与したかを確認できます。また、不正なデータ持ち出しや意図的な削除が行われた場合にも、操作ログをもとに問題行為が行われたタイミングや経緯を把握できます。このように、操作ログはリスク発生時の原因究明に役立つだけでなく、法的証拠としても活用可能なことがあります。
社員の勤務状況を簡単に把握できる(テレワーク・出張など)
PC操作ログを取得しておけば、各社員の勤務状況を正確に把握できます。例えば、社員がPCを使用した時間帯や、アクセスしたファイル、利用したアプリケーションの種類などを確認することで、業務開始や終了の時間、勤務中の活動内容を把握できます。これにより、テレワークや出張など離れた場所で働く社員の勤務時間や業務進捗を確認でき、組織全体の業務の可視化が進みます。また、勤務状況の把握に基づいて業務負担を調整し、業務効率の向上や過剰労働の予防も可能となります。
労務管理者の業務効率化ができる
管理者は、操作ログをもとに社員の作業内容や作業時間を把握できるため、個別の業務確認や報告書の作成にかかる時間を削減できます。たとえば、社員ごとの作業内容をまとめて把握し、業務の進捗や問題点を一目で確認できるようにすれば、直接的なやりとりを減らし、管理の負担が軽減されます。
また、PC操作ログによって得られるデータを分析し、業務のボトルネックや不要なタスクを特定すれば、業務プロセス全体の見直しや改善を図ることができます。こうした改善により、管理者が本来の業務に注力でき、より効率的な組織運営が可能となります。
内部統制の強化
内部統制とは、企業活動の透明性を確保し、法令遵守や業務の適正性を維持するための管理体制を指します。操作ログを取得し、社員の操作内容を記録することで、不正や職務怠慢・情報持ち出しといった不適切な行動がないかを定期的に確認でき、組織全体でのコンプライアンス向上につながります。
たとえば、特定のデータにアクセスできる権限を持つ社員が意図的に不正な操作を行った場合、操作ログに記録されたデータをもとに迅速な対処が可能です。また、監査などの際にも操作ログがあることで、業務手順が適切に行われているかを証明できます。このように操作ログは、企業のガバナンス向上やリスク管理の徹底に貢献し、企業全体の信頼性を高める役割を果たします。
セキュリティ対策を強化できる
操作ログには、ファイルアクセスやシステムへのログイン・ログアウト履歴、インターネット接続状況など、さまざまな行動記録が含まれており、不審な行動や異常なアクセスが発生した場合に迅速に発見する手がかりとなります。
たとえば、通常勤務時間外のアクセスや、不特定多数のファイルへの急激なアクセスが発生した場合、操作ログをもとに不正な行動を発見し、速やかに対策を講じることが可能です。また、外部からのサイバー攻撃や内部の不正行為に対しても、リアルタイムでの監視や警告機能を導入することで、被害を未然に防ぐことができ、企業全体のセキュリティレベルが向上します。
まとめ
今回は、PCのログを調査することで出来ることや、ログの収集方法について紹介しました。
ログの調査に対応している企業は、不正行為の調査だけでなく、業務効率化やウイルス感染調査にも対応しています。また、ログの取得方法には個人で出来るものから、調査会社によるフォレンジック調査まであり、調査可能な機器の台数や精度も異なります。
自身の必要なものに適している調査方法を見極め、より確実な調査を希望する場合はPCログの調査に対応している調査会社に相談してみてください。
無料会員登録
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
