誰もがデジタル機器を扱う時代になり、フォレンジック調査の存在感はますます高まっていますが、具体的な手順や実施するメリットについては、まだまだ世間に認知されているとはいいがたいのが現状です。

フォレンジック調査は、コンピュータやデジタルデータを用いた不正行為、たとえば不正アクセス、情報漏えいなどのセキュリティインシデント、ないしデータ改ざんによる不正会計やデータ持ち出しなどの不法行為の調査において、頻繁に用いられています。

この記事では、フォレンジック調査の手順・方法から、実施する際に気を付けておきたい注意点まで総合的に解説します。フォレンジック調査を検討しているという方は、ぜひこの記事を参考にしてみてください。

＞おすすめのフォレンジック調査業者はこちら

フォレンジック調査とは

まず、フォレンジック調査とは何かを具体的に説明します。

フォレンジック調査とは、デジタルデバイス（スマートフォン、パソコンなど）から収集されたデータを解析し、インシデントの真相を解明する手法です。電子的証拠はデジタル機器の普及にともない、民事・刑事をとわず法的証拠としての価値を帯びるようになってきましたが、その取り扱いに関しては、まだ正しい認識が広まっていないのが現状です。

たとえば電子データは非常に不安定です。容易に改ざん・消去される恐れがあることから、インシデントの解明ないし法的機関への証拠提出に際しては「法的に正しい手続き」で証拠となるデータを体系的に保存する必要が生じました。

これには専門的な知識が要求されるため、自力でやみくもに対応すると、大きなリスクが生じます。もし不用意な操作でアクセスログが上書きされてしまうと、たとえば法的機関に電子的証拠を提出する場合、法的な証拠能力を失う恐れがあります。

そこで、法的証拠を正しい手続きで解析し、セキュリティインシデントも体系的に調査することができる「フォレンジック調査」の需要が高まりました。現在、フォレンジック調査は警察や検察庁はもちろん、企業内の社内不正でも採用されており、あらゆる場面、あらゆる分野で頻繁に用いられています。

フォレンジック調査にかかる費用や相場については、下記の記事でも詳しく紹介しています。

【比較】フォレンジックとは？費用や相場・おすすめ業者を徹底解説（フォレンジック調査）

2016.3.1

※この記事は2023年1月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

フォレンジック調査の種類

フォレンジック調査の種類としては次のものがあります。

• コンピュータフォレンジック
• モバイルフォレンジック
• ネットワークフォレンジック
• ファストフォレンジック

コンピュータフォレンジック

コンピュータフォレンジックとは、コンピュータ機器を用いた犯罪や不正行為の捜査や証明で使われる調査で使われます。

デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。

コンピュータフォレンジックについての詳細は下記の記事で詳しく紹介しています。

コンピュータフォレンジックとは？業者やツールなど調査方法について

2020.8.20

情報漏えいなどが発生した際、その後の対応について疑問を持たれる方は多いのではないでしょうか。パソコンなどに保存されているデータはファイルという形で保存されている電磁的記録であるため、コピーや改ざんが容易に行われてしまいます。そのため法的な証

モバイルフォレンジック

コンピュータ・フォレンジックでも、モバイルデバイス（スマートフォンやタブレットなど）に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。

モバイルフォレンジックでは、モバイルデバイスから収集された通信記録や連絡先データを解析することで、犯罪や不正行為を証明することができます。たとえば履歴データやアプリケーションの使用履歴を解析することで、特定の行動や状況を把握することができるほか、削除された写真や動画を復元・解析することで、犯罪や不正行為が行われた現場や状況を把握することができます。

ただし、モバイル端末はパソコンと構造が大きく異なるため、データ復元や解析には一般的なプロセスと違った、高度な技術力が必要不可欠です。

ネットワークフォレンジック

ネットワークフォレンジックとは、オンラインやネットワーク上のデータを対象とした調査・解析手法です。ネットワークフォレンジックは、ネットワーク上で実行されている不審な挙動を収集し、分析することで、不正な行為を検出し、追跡できます。

これは主にサイバー攻撃の被害全容を把握するのに使用されます。たとえば不正アクセスの経路、漏えいしたデータの特定などに役立つほか、セキュリティ対策の検討および実施のためにも必要不可欠となります。

ネットワークフォレンジックとは？仕組みやメリットデメリット、価格について徹底解説

2019.7.18

個人情報の漏洩や、ネットワークに対する不正なアクセスが後を絶ちません。これらの行為の証拠を掴み、事件を解明する技術がデジタルフォレンジックです。とりわけ近年はシステムがネットワーク化されていることもあり、ネットワークフォレンジックが注目を集

ファストフォレンジック

企業が扱うデータや端末は膨大なことから、通常のフォレンジック調査では、被害全容を解明するにも手間が増えてしまい、調査に時間を要してしまうのも現状です。そこで、デジタル情報の分析を迅速かつ正確に行うことが求められるようになりました。この際によく使われるのが「ファストフォレンジック」という技術です。

ファスト・フォレンジックは、名前の通り「短時間で適切かつ迅速な初動対応」が行えます。たとえば社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能で、インシデントの早急な把握・解消に役立ちます。

ファスト・フォレンジックについては下記のページで詳しく紹介しています。

ファスト・フォレンジックとは？活用事例やメリット、おすすめ調査業者まで徹底解説

2020.6.17

近年、テレワーク推進も伴い、様々な業種・業態で業務がデジタル化され、利便性の向上と効率化に役立てられています。しかしその一方で、サイバー犯罪や情報漏洩の危険性が高まっているのも事実です。 マルウェアの感染や情報漏洩といった有事の際、こ

フォレンジック調査の実施が必要となるケース

フォレンジック調査が必要となるケースは、次のようなものがあります。

• ハッキング・不正アクセスが疑われるケース
• 内部不正・不祥事が疑われるケース
• オンラインハラスメントを調査するケース

ハッキング・不正アクセスが疑われるケース

ハッキング・不正アクセスが疑われる場合、不正アクセスがどのように行われ、どのような被害を受けたのかを特定・把握する必要があります。また今後、同様の被害を防ぐためにも、適切なセキュリティ対策を講ずる必要があります。

この際、フォレンジック調査でハッキングや不正アクセスが行われた経路や手段を把握することで、ハッカーが使用したツールや技術を特定することができるほか、ネットワーク上の脆弱性の特定にも役立ち、調査から対策までを一気通貫して行うことが出来ます。また、どのようなデータが改ざん、ないし流出したかを確認することで、どの程度の損害をもたらしたかを把握することができます。

内部不正・不祥事が疑われるケース

内部不正・不祥事が疑われるケースでは、証拠の収集や解析を行うことで、実際に不正が行われたかどうかを証明することができます。この際、法的に正しい手続きを取ったうえで調査をおこなうことが重要です。なぜなら内部不正の調査で収集された電子的証拠は、民事・刑事をとわず、裁判所に提出する可能性が高く、もし法的手続きを守らなかった場合、その証拠が無効と認定されることがあるからです。

よって自力でのデータ収集や体系化は難しく、フォレンジック調査業者と提携しての対応が最も無難です。また、社内不正（特にデータ持ち出し）を行った人物をフォレンジック調査で特定ないし証明することによって、警察や検察による犯罪者の逮捕や起訴を促すことも可能です。

なお、高度なデータ復旧技術を保有するフォレンジック業者では、端末から消去されたデータの復元も迅速かつ正確に行うことが可能です。業者に依頼する前には、この点も必ずおさえておきましょう。

従業員によるデータの持ち出しの被害を受けた企業が、どのような調査を行うべきかについては、下記の記事でも詳しく解説しています。

社員のデータ持ち出しをデジタルフォレンジックで徹底調査！

2020.9.8

昔は紙媒体で管理していた顧客情報や会社の機密情報は、現在ハードディスクやUSBなどの記憶媒体で、簡単に持ち出せてしまうようになりました。その背景として、個人・法人問わず、一人一人が管理する情報量が増加してい

オンラインハラスメントを調査するケース

フォレンジック調査は、オンライン上で行われるハラスメントの証拠を収集するのに有効です。たとえばドクシング（晒し）、ストーカー行為、オンラインいじめ、脅迫、名誉毀損、DDos攻撃などがこれにあたります。

現在、さまざまなハラスメント行為、特にパワーハラスメントは、チャットで行われることも多くなりました。しかし、事件が表明化する前に当事者が端末のデータを取り消すことも多いことから、このようなケースでもしっかりフォレンジック調査をおこなうことでハラスメントの詳細を特定し、必要な措置を講ずる必要があるのです。

フォレンジック調査を実施する際の注意点

フォレンジック調査を実施する際の注意すべき点は、次のとおりです。

• そもそも、フォレンジック内製化は困難
• 調査プロセスの正当性を確保する
• 調査の目的を明確化する

そもそもフォレンジック内製化は困難

「フォレンジック内製化」とは、企業や組織内でフォレンジック調査を行うことを指します。社内でフォレンジック調査を行えば、自社のシステムに精通した管理者が、企業や組織にとって重要な情報を保護することができるため、いくつかのメリットもあることでしょう。

しかし「フォレンジック内製化」は非常に難しいと一般的にみなされています。

なぜなら、フォレンジック調査で収集されたデータは、法的手段や手順を守る必要があるからです。要するに裁判所や監督官庁など、行政機関や法執行機関でも通用する「証拠としての能力」を確保しなければならないのですが、これには法的知識と解析技術をあわせもったエンジニアが必要不可欠となっています。

これは一般企業のシステム担当者では代替しにくく、「フォレンジック内製化」が非常に難しい根拠のひとつとなっています。

調査プロセスの正当性を確保する

デジタルフォレンジックでは調査プロセスの正当性を確保する必要があります。なぜなら、調査プロセスが不正確であると、デジタルフォレンジックの証拠や結果が信頼できなくなるからです。

そのため、デジタルフォレンジックの調査プロセスでは、収集されたデータの正確性を確認・検証したうえで、形式的な手順を踏むなど、あらかじめ体系化されたプロセスをきちんと実行する必要があります。しかし、このようなプロセスは一般的ではないため、自力でのフォレンジック調査は不正確かつ不適切になりやすい傾向があります。

調査の目的を明確化する

フォレンジック調査では、あらかじめ調査の目的を明確化する必要があります。目的が明確化されていないと、たとえばチーム制で調査にあたる場合、個々人でばらばらの情報を収集したりしてしまい、統率が取れなくなります。そのため、フォレンジック調査にあたる際は、前提条件のコンセンサスを全員が認識しておく必要があります。

フォレンジック調査のやり方・手順

フォレンジック調査は、主に次の流れでおこないます。

1. ヒアリング
2. 証拠保全
3. データの解析・分析
4. データの復元
5. 報告書の作成

①ヒアリング

フォレンジック調査では、まずインシデントの状況や背景を把握するために、ヒアリングを行います。さらに詳しい情報を収集する場合、質問をし、対象者からの回答を入手するなど事実関係を確認することもあります。

②証拠保全

証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。デジタルデータは重要証拠となり得る一方、誰でも容易に復製・消去・改変することができます。そのため、デジタルデータを証拠として認めさせるには、正しく情報を取り扱うフォレンジック調査サービスで正当な手続き（証拠保全）をとる必要があるのです。

なお、オリジナルの電磁的記録には手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うには、普通のデータコピーではなく、専用のツールを使用する必要があります。

さらに、機器自体のクローンも作成する必要があり、そのクローンから「ファイルにおける指紋」と呼ばれるハッシュ値や、データの完全性を保証するデジタル署名というメカニズムなどを用いて正確にデータを抽出する、高度なステップを踏まなければなりません。なお、クローンを作成するのは、元の機器が故障して、調査できなくなるリスクを防ぐ役割も兼ねています。

③データの解析・分析

取り出したデータを解析し証拠となり得るデータの有無を確認します。フォレンジック調査では主に以下のような内容を解析・分析することができます。

• パケット（ネットワーク上に流れるデータ）
• サーバーログ
• ドキュメントファイルの作成・保存履歴
• メールの送受信履歴
• webサイトの閲覧履歴
• 不明なアプリケーションのインストール・実行履歴

④データの復元

証拠となり得るデータが削除されている、もしくは、機器自体が破損している場合は、対象機器からデータの復旧・復元作業を行います。

特に社内不正では端末上のデータが改ざんされていることも多く、そのため、フォレンジック調査では、削除されたデータを、可能な限り元の状態に戻すことが求められます。

しかし、証拠保全の過程で行う「データ復旧作業」は、難易度が高く、到底個人で対応できるものではないため、データ復旧にも対応しているフォレンジック業者に対応を依頼することをおすすめします。とくにメモリを搭載したモバイル端末からのデータ復元に対応している業者は、そう多くはありません。

また、破壊されたHDDなど重度障害を負ったデジタル機器から証拠となるデータを復旧できる業者は世界的にも少なく、あらかじめ端末の状態を認識したうえで、高度なデータ復旧も行えるフォレンジック業者を見きわめることが重要になってきます。

⑤報告書の作成

調査結果の詳細をレポートにまとめ、提出します。

なお、提出されたレポートは証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、法廷利用可能な資料になります。そのためレポートを「第三者の中立的な資料」として扱うことが可能です。

おすすめのフォレンジック調査業者

ここでは、フォレンジック調査に対応している専門業者の中でも「実績」と「スピード」を重視して選定しました。

まとめ

フォレンジックをおこなうには、あらかじめ、どのような調査をおこなうのかを整理したうえで専門業者に対応を依頼しましょう。また、フォレンジック調査を依頼する際は、業者に丸投げするのではなく、情報共有の面で提携することが大切です。