不正アクセスや情報漏えいなどが発覚した場合、セキュリティ体制の強化やコンプライアンス遵守、ないし労働問題に対して客観的に対応するため、PCのログを管理・調査することが増えます。
しかし、PCのログ調査は膨大な時間と労力を要し、調査に必要な専門知識も必要となります。また法執行機関などにログデータを証拠として提出する場合、それを法的証拠として機能するよう対処する必要性も生じます。
そこで、本記事では、PCのログ調査によって実現できること、ないし法的証拠としてログデータを収集する調査手法について、詳しくご紹介します。
これにより、PCのログ調査の必要性や、調査のために必要なスキルや知識について理解を深めることができます。また、PCのログ調査がどのようにビジネスに貢献するかについても触れていますので、是非参考にしてください。
目次
PCの操作ログとは?
PC操作ログとは、PCの利用者が行った操作を記録したものです。
一般的に、操作ログには以下のような情報が含まれます。
- ユーザーのログインとログアウトの情報
- ファイルやフォルダの作成、変更、削除などの操作
- ソフトウェアの起動、終了、設定変更などの操作
- ネットワーク接続の確立や切断、通信の送受信などの操作
- システムのエラー、警告メッセージ、セキュリティイベントの記録
- リモートアクセスなどの情報
操作ログは不正アクセスやデータ漏えいの有無を確認する場合、非常に重要です。
PCの操作ログを取得しておくメリット
PCの操作ログを取得しておくメリットは以下があります。
- 情報漏えいが発生した時に証拠として利用できる可能性がある
- 社員の勤務状況を簡単に把握できる(テレワーク・出張など)
- セキュリティ対策を強化できる
- 管理者の業務効率化ができる
- 内部統制の強化
情報漏えいが発生した時に証拠として利用できる可能性がある
PCの操作ログを取得しておくことで、情報漏えいなどのトラブルが発生した場合に、被害の経路を特定でき、報告するときに証拠として利用することができます。
企業で個人情報の漏えいが発生した時に、ログを取得できない状況だと、漏えいした原因が特定できません。
原因がわからなければ対策するときも、予想で対策することになり、正確な対策ができないため、ログを取得しておくことは重要です。
社員の勤務状況を簡単に把握できる(テレワーク・出張など)
もし社内で勤怠状況に不審な箇所を発見した時に、テレワークや出張などを含む勤怠管理システムの操作ログを確認して事実を正確に確認することができます。
操作ログを取得していなければ、正確な勤務状況を確認することは難しいため、給与の支払いや残業の管理で不備が生じる可能性があります。
特にテレワークや出張などの勤怠状況が把握し難い状況が発生しうる可能性がある会社こそ、操作ログを取得しておく必要があります。
労務管理者の業務効率化ができる
従業員の勤怠状況の整合性を確かめる際に、従来の管理方法としては、手書きの専用用紙やエクセル、タイムカードなどで管理していたものを、勤怠管理システムの操作ログを確認するだけで一括で確認することができます。事実とログ内容の乖離チェックも簡単に行えるため、労務管理者の業務を大幅に効率化できます。
内部統制の強化
PCのログ操作を管理することで、企業が社内不正やミスを発見対策するための内部統制の強化につながるメリットがあります。
上場企業では、内部統制が機能しているかを経営者が評価したうえで、内部統制報告書の提出が法律で義務付けられています。
内部統制報告書を作成するときは、操作ログを含むPCに残されたログやネットワーク上のログを調査会社で調査して、報告用のレポートを作成してもらう必要があります。
セキュリティ対策を強化できる
操作ログを取得しておくことで、マルウェア感染やハッキング不正アクセスなどの被害が発生した時にすぐ原因を特定できる可能性があります。
調査会社では、ログを調査して、サイバー攻撃手口の侵入経路やマルウェアの感染経路、セキュリティの脆弱性を調査することが可能です。
被害が発生した原因を特定できるだけでなく、再発防止のためのセキュリティ対策を強化することができます。セキュリティが不安な方は、必ず操作ログを取得しておき、専門会社に相談して調査してもらいましょう。
PCの操作ログの種類
PCの操作ログといっても、どの操作を実行した結果のログか次第で、ログの種類を分けることができます。PCの操作ログの種類は以下のようなものがあります。
- 操作ログ(PCの操作履歴やサーバーへのアクセス履歴)
- 通信ログ(PCとサーバ間の通信履歴)
- 認証ログ(PCからネットワークやシステムにログインした履歴)
- セットアップログ(Windows Update によるシステムの更新の履歴)
- イベントログ(システム内で発生したイベントの履歴)
- 設定変更ログ(システムやアプリの管理画面での設定変更履歴)
- エラーログ(システムやアプリなどでエラーが発生した履歴) など
ログの種類によって鰓あれる情報が異なるため、可能な限り多くの種類のログを取得・管理しておくことをおすすめします。
PCの操作ログを取得する方法
PC操作ログの取得方法は以下があります。ただし、ログは取得するだけでは損害賠償請求や懲戒解雇を要求するための証拠にはならないため、証拠をもとに調査する必要があります。
調査する場合に、自社調査では客観的に見て証拠能力がないと判断される可能性が高いです。適正な証拠として判断してもらうためには、調査会社に相談して調査してもらう必要があります。もし調査ログを取得できている状態で、社内不正や退職者の情報持ち出しなどが発覚した時は、調査会社に相談して調査するようにしてください。
- Windowsのイベントビューアーを活用して取得する
- ログの管理ツール・システムを導入する
Windowsのイベントビューアーを活用して取得する
Windowsのパソコンを使用している場合に、「イベントビューアー」の機能を利用して操作ログを取得することができます。Windowsのイベントビューアーでログを取得する方法は以下の通りです。
- アプリケーションログ
- セキュリティログ
- システムログ
- セットアップログ
- イベントログ など
アプリ一覧からイベントビューアーを起動し、保存されているログを確認することができます。しかし、保存期間は事前に設定しているため、保存期間を過ぎている場合はログを確認できないため注意が必要です。
ログの管理ツール・システムを導入する
企業がログを管理するためには、ログの管理ツール・システムを導入するのが有効になります。ログの管理ツール・システムを導入することで、サーバーや社内PCの操作ログの情報を一括で管理できます。
企業が管理しているパソコンやデータ量はとても多く、ツールやシステムなしでログを取得・管理しようとすると膨大な時間と労力がかかります。そのうえ、管理ミスで正確なログを取得できない可能性があります。
ログの管理ツール・システムを導入したうえで、社内不正や情報漏えいなどのトラブルが発生した時は、取得していた情報をもとに調査会社に相談するようにしましょう。
PCの操作ログを取得・管理するときの注意点
PCの操作ログを取得・管理するときの注意点は以下のようなものがあります。
- システムの時刻を統一しておく
- ログを保管しバックアップを取っておく
- ログの取り扱いに注意する(プライバシー)
- リスクに対する危機感を緩めない
- 私的利用をしない・させない
- 権限や制限についても設定しておく
システムの時刻を統一しておく
PCの操作ログを管理するときは、パソコンやサーバー、管理システムなどのシステムの時刻を統一しておくことが必須になります。
ログを取得していたとしても、システムごとに時刻がばらばらだと正確な操作ログを取得できているとは言えません。ログの調査結果の信頼性に影響が出る可能性が高いので、必ず時刻を統一しておきましょう。
PCの操作ログを保管しバックアップを取っておく
ツールから取得したログは、削除・上書きされないように定期的に保管し、バックアップしておきましょう。デジタルデータは誰でも簡単に書き換え・削除することが可能です。
操作ログが書き換えられてしまうと、社内不正などが発生した時の証拠として利用できなくなる可能性がありますので必ずバックアップを取っておくようにしてください。
PCの操作ログの取り扱いに注意する(プライバシー)
PCの操作ログを取得する場合には、個人情報や閲覧履歴など、本来誰かに見られる可能性が少ない情報も取得して、保管することになります。
事前に社内規則でログの監視ツールを利用していることを周知する必要があります。周知しておかなければ、社員のプライバシー侵害のトラブルに発展する可能性があります。
PCの操作ログを取得する、または利用して調査を行う場合には、ログの取り扱いに細心の注意を払う必要があります。
リスクに対する危機感を緩めない
操作ログを管理することで、社員がセキュリティを意識し、トラブルが発生しにくくなることはありますが、セキュリティ上のリスクが全くなくなるわけではありません。
ログの管理ツールは、トラブルを早期発見し、被害の原因を調査することはできますが、事前に防ぐことはできない可能性が高いです。
事後の調査と同時に、未然防止のセキュリティ対策にも危機感を持っておく必要があります。
私的利用をしない・させない
PCの操作ログを誰でも管理・確認・編集できてしまうと、ログ情報の信ぴょう性が低下しますので、私的利用をしない・させないようにしましょう。
PCの操作ログは誰でも簡単に書き換え・削除することができるため、私的利用ができる環境では、ログの整合性が判断できなくなる可能性が高いです。
また、個人情報や社外秘の情報なども操作ログ情報に含まれる可能性があるため、閲覧権限をあらかじめ設定しておくことが重要になります。
ログの整合性が保たれていない場合は、トラブルが発生した時に、操作ログに証拠能力が認められない可能性もあるため、必ず社内規則などを設置して限られた人だけで管理する仕組みで運用しましょう。
不正アクセスやデータ漏えいの有無を確認するためにはPC操作ログが必要不可欠
操作ログには、前述したようにログイン時間、ログアウト時間、アクセスしたファイルやフォルダ、実行したプログラムなど、さまざまな情報が記録されており、不正アクセスやデータ漏えいの有無を確認するための重要な手がかりとなります。
たとえば操作ログを分析することで「不正アクセスが発生した時刻」「侵入経路」「盗まれたファイルやフォルダ」などを特定することができます。
また怪しい社員のログを確認したい場合、操作ログを分析することで「通常とは異なる時間帯にログインしている」「アクセス権のないファイルにアクセスしている」「大量のデータをダウンロードしている」など通常の画面からは把握しきれないような異常なアクティビティやトラフィックを特定することが出来ます。
不正行為の疑いを記録したログが確認できた場合
不正が疑われるログが確認できた場合、ログをより詳細に分析することで、「悪意ある人物がどのようにシステムに侵入・操作したか」あるいは「どのようなデータにアクセスしたか」などを特定することができます。また、この情報をもとに、システムの脆弱性を修正したり、アクセス制御を強化したりなど対策を講じることで、今後のインシデントを防ぐことができます。
ただし、ログデータを自力で操作すると、証拠の完全性・同一性を証明することが困難になり、場合によっては「証拠能力」を失う恐れもあるため、法執行機関にログを提出する際は、推奨されません。
一方、サイバーセキュリティ専門家は、本格的な調査や証拠保全をおこなうための技術・ツール・特殊設備を保有しており、法的に正しい手続きでログを分析し、悪意ある第三者が利用した手法、経路を特定することができます。そのため、正確に証拠を収集する場合、専門家まで対応を依頼することを検討しておきましょう。
PCの操作ログ調査でできること
PCの操作ログを調査することで、おもに次のようなことが実現できます。
- 不正アクセスの検出
- 情報漏えいの調査
- セキュリティインシデントの原因究明
- 従業員の勤務状況の把握
- システムのパフォーマンスチェック
不正アクセスの検出
PCの操作ログを分析することで、不正なアクセスや侵入の痕跡を検出することができます。
たとえば、異常なログイン試行や不審なネットワーク接続、アクセス権限の乱用などが記録されている場合、不正アクセスの可能性があります。
情報漏えいの調査
操作ログから、ファイルやデータベースへの不正なアクセスや操作が行われたかどうかを特定できます。
たとえば、ファイルのコピー・変更・削除などの操作、外部への不自然なデータ送信が記録されている場合、社内不正などによる情報漏えいの可能性があります。
社内不正行為の調査や対応方法については下記の記事でも詳しく解説しています。
また退職者のデータ持ち出しや不正行為の確認方法については下記の記事でも詳しく解説しています。
セキュリティインシデントの原因究明
マルウェア感染やハッキングなどでセキュリティインシデントが発生した場合、操作ログを調査することで、インシデントの原因や経緯を特定できます。
たとえば、攻撃者がどのような手法で侵入したか、どのような操作を行ったかなどの情報がログに記録されている場合、インシデントの解明に役立ちます。
マルウェア感染の原因調査については下記の記事でも詳しく解説しています。
従業員の勤務状況の把握
操作ログを活用することで、従業員の勤務時間や活動を追跡し、勤怠管理や業務進捗の把握に活用することができます。
たとえば、不当な残業代要求等があった場合、ログから従業員のログイン/ログアウトの情報やアプリケーションの使用履歴を確認し、作業時間や業務遂行状況を把握することができます。
職務怠慢を証明する場合、証拠データの調査方法については下記の記事で詳しく解説しています。
またテレワーク管理の具体的な方法やメリット・注意点については下記の記事で詳しく解説しています。
システムのパフォーマンスチェック
操作ログにはシステムのイベントやエラー情報が記録されており、システムのパフォーマンスチェックに役立ちます。
これはガバナンス体制の強化やコンプライアンス遵守、業務の効率化・管理などに活用することができます。たとえば、ログから異常なイベントやエラーメッセージを抽出し、問題箇所の特定やトラブルシューティングに活用することができます。
PCの操作ログ調査の方法
PCの操作ログ調査の方法は、主に以下の3つです。
以下の方法には個人で行えるものもありますが、法的な証拠を取得したい、ないし、正確な情報の収集を希望している場合、個人での調査ではなくPCのログ調査に対応している企業に相談しましょう。
- PCの管理システムから分析する
- 操作ログ解析ツールを使用する
- フォレンジックサービスを利用する
PCの管理システムから分析する
操作ログを取得したいPCのOSがWindows10の場合「イベントビューアー」で操作ログを収集することができます。
起動方法
Windowsのイベントビューアーを起動する手順は以下のとおりです。
- Windows 11/10の場合
- スタートメニューを開き、検索バーに「eventvwr.msc」と入力します。
- 検索結果から「イベントビューアー」をクリックします。
- Windows 8/8.1の場合
- スタート画面を開き、「コントロールパネル」をクリックします。
- 「システムとセキュリティ」をクリックします。
- 「管理ツール」をクリックします。
- 「イベントビューアー」をクリックします。
- イベントビューアーが起動します。
操作方法
「イベントビューアー」で調査できるログは次のとおりです。
- Application:インストール、強制終了などのアプリケーションに関するログ
- セキュリティ:ログインの成功・失敗などのセキュリティに関するログ
- Setup:Windows Update によるシステムの更新に関するログ
- システム:Windows サービスの起動・停止や、ハードウェア障害などのシステム全体のログ
- Forwarded Events:転送されたイベント(リモート接続時)のログ
Windowsのイベントビューアーの操作方法は以下のとおりです。
- イベントビューアーを起動します。
- 確認したいログを選択します。
- イベントをクリックして、イベントの詳細を表示します。
イベントの詳細を確認することで、セキュリティ侵害の兆候を確認することもできます(イベントの詳細には、イベントの日時、イベントのソース、イベントの種類、イベントの説明が記載されています)。
なお、セキュリティ侵害の兆候としてよく見られるイベントには、次のようなものがあります。
- 不正なユーザーアカウントの作成または変更
- 不正なアクセスが行われたファイルやフォルダ
- ファイアウォールやIPSがブロックしたインシデント
- 未知のソフトウェアやマルウェアのインストール
- アカウントのパスワードが変更された
- システムの構成が変更された
- その他のセキュリティ関連のイベント
これらのイベントは、セキュリティ侵害の兆候のほんの一例です。セキュリティ侵害の兆候を特定するためには、イベントビューアーを定期的にチェックし、異常なイベントを特定することが重要です。異常なイベントが見つかった場合は、すぐに調査し、適切な措置を講じることが重要です。
確認したいイベントを選択後は、右クリックメニューから「すべてのイベントに名前をつけて保存」を選ぶことでログを保存、確認できます。
注意点
「イベントビューアー」で取得できるログは、一定期間で消えてしまう上に、PCの利用者が恣意的に削除することもできるため、抜け穴が多く存在します。
また、企業が保有するすべてのPCのログを一台ずつ手動で収集するのは現実的ではなく、この方法で調査している企業では、サーバーのイベントログを調査するだけという場合が殆どです。
操作ログ解析ツールを使用する
企業全体のPCのログを取得して一斉に管理を行うには、専用ツールが必要です。
専用ツールを用いることで、管理対象のPCにアプリケーションをインストールするだけで、ログの取得が可能になります。ログ取得をすることで、いつ・誰が・何をしているのか、を確認することができます。
代表的な操作ログ解析ツールには、次のようなものがあります。
- Splunk
- ELK Stack
- LogRhythm
- ArcSight
- QRadar
- McAfee SIEM
- IBM QRadar
- RSA NetWitness
- FireEye HX
- Symantec Security Information and Event Management (SIEM)
これらのツールは、それぞれに特徴や機能が異なります。そのため、組織の規模やニーズに合わせて、適切なツールを選択することが重要です。
操作ログ解析ツールは、セキュリティ侵害の検出だけでなく、システムやアプリケーションのパフォーマンスの監視や、ユーザーの行動分析にも役立ちます。そのため、セキュリティ対策を強化するためには、操作ログ解析ツールを導入することが重要です。
操作方法
操作ログ解析ツールの基本的な使用手順は、次のとおりです。
- 操作ログを収集する
- 操作ログを分析する
- 異常な操作を検出する
- 異常な操作に対応する
ただし、ツールによって操作方法が異なるため、操作方法の詳細については、各ツールの説明を参照してください。
注意点
ツールを用いることで、一台ずつ手動で調査をする方法よりも効率的かつ高精度でログの取得・管理ができます。しかし、ツールを用いても個人での調査では調査漏れが発生する場合があるため、確実な調査を行いたい場合には不十分です。
フォレンジックサービスを利用する
確実に操作ログの調査を行いたい場合は、対応している企業にフォレンジック調査の相談をすることを検討してください。
フォレンジック調査では、専門のエンジニアによるPCの操作ログ調査を行うだけでなく、不正な操作や不正アクセス、その他のサイバー攻撃によって被害を受けた企業や個人が、法的証拠を押さえるために実施するデジタル鑑識を受けることができます。
また、その調査レポートは裁判での法的証拠として使用することができるため、調査だけでなくその後の法的対応という面でも有効に活用ができます。
フォレンジックとは
「フォレンジック(フォレンジクス)調査」とは、発生したデジタルインシデントに対し、PC・HDD・スマホといった電子機器や記録媒体、もしくはネットワークの中に残存する電磁的記録(デジタルデータ)から、「正しい手続き」で不正行為の事実確認を行ったり、サイバー攻撃・不正アクセスなどの被害状況を割り出したりする調査手法を指します。
そもそも、フォレンジック (forensic)は「法廷の」という意味を持ち、実際に裁判上でも法的効力を持つ調査手法です。そのため、フォレンジック調査の結果は、単なる事実確認だけでなく、法廷などにおける公的な調査資料としても活用することができます。このことから、日本の警察では、2006年以降、デジタル・フォレンジックを「犯罪の立証のための電磁的記録の解析技術及びその手続き」(警察自書)と定義付けています。
なお、フォレンジック調査は、裁判上での証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。
おすすめの調査専門業者
フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、30社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。フォレンジック調査会社を選ぶときのポイントは以下です。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している・出張での駆けつけ対応が可能
- 費用形態が明確である・自社内で調査しており、外注費用がかからない
- 法的証拠となる調査報告書を発行できる
- 調査に加え、データ復旧作業にも対応している
- セキュリティ体制が整っている
上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | データ復元、退職者調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、労働問題調査、データ改竄調査、サイバー攻撃被害調査、マルウェア・ランサムウェア感染調査など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計23,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年) |
まとめ
今回は、PCのログを調査することで出来ることや、ログの収集方法について紹介しました。
ログの調査に対応している企業は、不正行為の調査だけでなく、業務効率化やウイルス感染調査にも対応しています。また、ログの取得方法には個人で出来るものから、調査会社によるフォレンジック調査まであり、調査可能な機器の台数や精度も異なります。
自身の必要なものに適している調査方法を見極め、より確実な調査を希望する場合はPCログの調査に対応している企業に相談してみてください。