【比較】フォレンジック調査とは?費用や事例からおすすめ会社の選び方を徹底解説|サイバーセキュリティ.com

【比較】フォレンジック調査とは?費用や事例からおすすめ会社の選び方を徹底解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

※この記事は2024年5月に更新されています。

不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタル化が進むなかで、ITやセキュリティの重要性は年々高まっており、その需要は年々増加しています。

  • 「フォレンジックサービスで具体的に何ができる?」
  • 「技術力・セキュリティレベルが高く、安心して依頼できる調査会社は?」
  • 「マルウェア・ランサムウェア感染が発生し、緊急で対応してもらえる企業が知りたい」
  • 「フォレンジックサービスを使って社内不正調査をする際の具体的な流れは?」

このような疑問を解決すべく、フォレンジック調査の概要、メリットやフォレンジック企業選びのポイント、調査の活用事例や費用まで徹底解説いたします。

フォレンジックの意味と目的とは?

「デジタル・フォレンジック(フォレンジクス)」とは、発生したデジタルインシデントに対し、PC・HDD・スマホといったデジタル機器、もしくはネットワーク上のデジタルデータから、不正行為の事実確認を行ったり、サイバー攻撃の被害状況を割り出したりする調査手法です。

個人情報の流出などが問題視されている昨今、情報の流出が疑われる場合や、セキュリティの脆弱性を探る際に「フォレンジック調査」を行う必要があります。

  • 証拠隠滅されたデータを復元して不正の証拠を確認したい
  • 横領・文書改ざん・秘密情報の流出などの証拠をつかみたい
  • 不正アクセス・マルウェア感染などによる情報漏えいの有無を確認したい
  • マルウェア・ランサムウェアの感染経路を調査したい
  • セキュリティ上の脆弱性やリスクを確認したい

このような目的に対して、機器上のデータやログを分析し、証拠となるデータを特定するのがフォレンジック調査です。

警察等の捜査機関でも活用される技術

フォレンジックは日本の警察でも「犯罪の立証のための電磁的記録の解析技術、およびその手続き」として積極的に活用されています。フォレンジック調査を行うと、単なる事実確認だけでなく、調査報告書を法執行機関における公的な調査資料としても活用できることがあります。

フォレンジック調査は、裁判上の証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。

相談実績32,377件超!即日対応可能なフォレンジック調査会社はこちら >>

フォレンジック調査の流れ

フォレンジック調査は、主に次の流れで行います。

①証拠保全

証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する証拠保全」が必要です。デジタルデータは重要証拠となり得る一方、誰でも容易に復製・消去・改変することができます。そのため、デジタルデータを証拠として認めさせるには、正しく情報を取り扱うフォレンジック調査サービスで正当な手続き(証拠保全)をとる必要があるのです。

なお、オリジナルの電磁的記録には手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うには、普通のデータコピーではなく、専用のツールを使用する必要があります。

さらに、機器自体のクローンも作成する必要があり、そのクローンから「ファイルにおける指紋」と呼ばれるハッシュ値や、データの完全性を保証するデジタル署名というメカニズムなどを用いて正確にデータを抽出する、高度なステップを踏まなければなりません。なお、クローンを作成するのは、元の機器が故障して、調査できなくなるリスクを防ぐ役割も兼ねています。

②データの復旧・復元

証拠となり得るデータが削除されている、もしくは、機器自体が破損している場合は、対象機器からデータの復旧・復元作業を行います。

確実性の高い調査を行うためには、証拠保全による証拠の信ぴょう性の有無が、調査結果を左右します。そのためには、破損したデータを修復したり、暗号を解除したり、ファイルの構成を修正したりするなど、抽出データを証拠として使用できる状態に復旧しなければなりません。こうした復旧作業には専用ツールや、高度な専門知識と技術力が不可欠となります。

なお、証拠保全の過程で行う「データ復旧作業」は、難易度が高く、到底個人で対応できるものではないため、データ復旧にも対応しているフォレンジック調査会社に対応を依頼することをおすすめします。

③データの解析・分析

取り出したデータを解析し証拠となり得るデータの有無を確認します。

フォレンジック調査では主に以下のような内容を解析・分析することができます。

  • パケット(ネットワーク上に流れるデータ)
  • サーバーログ
  • ドキュメントファイルの作成・保存履歴
  • メールの送受信履歴
  • webサイトの閲覧履歴
  • 不明なアプリケーションのインストール・実行履歴

④報告

調査結果の詳細をレポートにまとめ、提出します。

なお、提出されたレポートは証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、法廷利用可能な資料になります。そのためレポートを「第三者の中立的な資料」として扱うことが可能です。

フォレンジック調査にかかる期間

フォレンジック調査にかかる期間は、大体1週間から2週間ほどです。調査する機器の台数が大規模な場合にはさらに時間がかかることもあり、期間が決まる要因は調査機器の台数・調査項目・調査目的などが挙げられます。

場合によっては初期調査で1~2週間、そのあとのコンピュータフォレンジックやネットワークフォレンジックなどの本調査でさらに1~2週間ほどかかり、全体で約1ヶ月以上かかるケースもあるようです。裁判の証拠提出期日や調査結果の公表期限が決まっている場合は早めに調査会社に相談しましょう。

 

フォレンジック調査会社の選び方

信頼できるフォレンジック調査会社を選ぶポイントは以下の通りです。

信頼できるフォレンジック調査専門会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • スピード対応している
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

官公庁・捜査機関・大手法人からの調査実績がある会社は、大切なデジタル機器を預ける上で技術面でもセキュリティ面でも信頼できます。また、フォレンジック調査が必要なインシデントは、できるだけ早い調査が必要なケースが多いため、即日機器を送付して調査可能な会社や24時間365日相談可能な会社に調査依頼することが望ましいです。フォレンジック調査会社によっては調査対応できるインシデントが限られている・セキュリティが信用できない会社もあるので、HPをよく確認してから相談することが重要です。

中には無料で相談を受け付けているような優良な会社もあるようなので、まずは実績が豊富で信頼できる会社に相談しましょう。今回は、上記の6つのポイントから厳選したおすすめランキング1位のフォレンジック調査会社を紹介します。今回紹介する調査会社は、デジタルデータフォレンジックです。

【相談無料】累積相談件数が豊富な調査会社:デジタルデータフォレンジック



公式HPデジタルデータフォレンジック

✔警視庁への捜査協力を含む、累計32,377件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)

デジタルデータフォレンジックは、累積ご相談件数32,377件以上を誇る、対応件数では国内最大級のフォレンジック会社です。マルウェア感染・情報漏洩・社内不正から、データ復元技術を活用したデータのサルベージまで幅広くサービスを展開しています。

フォレンジック調査を利用するケース

フォレンジック調査では、機器に発生しているインシデントによって、調査方法や収集する情報が異なります。ここでは、フォレンジック調査を利用する主なケースを紹介します。

調査会社によって、調査対象のインシデントは様々ですので、そもそも調査対応してもらえるかどうかを確認する必要があります。これらのインシデントに対応可能なおすすめ会社は、以下で紹介しています。

マルウェア感染・情報漏えい調査

マルウェア感染や、それによる情報漏えい被害に遭った場合、社内の情報が漏えいしているか、またはネットワーク上に侵入経路が設置されている恐れがあります。

そのため、個人情報を取り扱う会社は、被害全容を早急に把握し、行政機関や関係各所への報告書を提出する「義務」があります。もちろん、これは再発防止も含めての対応となります。

しかし、個人での被害調査には限界があります。マルウェアによる被害全容を正確に把握したいという方は、マルウェアの感染調査に対応しているフォレンジック調査会社まで相談しましょう。フォレンジック調査会社では以下のような項目が調査可能です。

  • 情報漏えいなどの被害状況
  • ウイルス感染による不正アクセスの有無
  • いつ、どのような経路で不正アクセスされたのか

なお、近年では、Emotetの感染被害も急増しており、フォレンジック調査の利用機会も増えていますが、中には技術力が乏しいフォレンジック調査会社も存在します。調査会社を選定する際は、相談から見積りまで無料で対応しているため、個人での対処が難しい場合は専門会社に相談してみましょう。中には最短当日での調査も対応している調査会社もあります。

ランサムウェアの感染経路調査

ランサムウェア」に感染すると、データが暗号化され、身代金を要求されます。また近年は、ネットワークにつながっている別の端末・サーバも被害を受ける傾向があり、この場合、膨大な情報が攻撃者に抜き取られてしまいます。

ランサムウェアに感染すると、機関システムが利用できない場合の業務停止による損失・顧客や取引先からの信用の失墜・窃取されたデータをダークウェブ上で販売される二重攻撃の被害の可能性もあり、非常に危険です。

端末を初期化・バックアップからデータを復元して乗り切ろうとする企業もあるようですが、被害の全容を特定していない状態で端末の初期化を行うと、感染した範囲・経路が不明瞭なため、初期化後に再度、別の機器に潜伏していた機器から感染することも考えられます。

専門会社で実施しているフォレンジック調査では、ランサムウェアの感染経路・脆弱性の特定はもちろん、漏えいした範囲、さらには関係各所への被害報告書の作成・再発防止の提案が可能ですので、ぜひ相談してください。

ハッキング・乗っ取り・不正アクセス調査

フォレンジック調査では、パソコンやスマートフォンなどのデジタル機器に向けたハッキング・乗っ取り・不正アクセスの有無を調査することができます。ハッキング・乗っ取り・不正アクセスの攻撃手法として以下のようなものがあります。

  • ソーシャルエンジニアリング
  • ブルートフォースアタック
  • SQLインジェクション
  • ゼロデイ攻撃 など

これらのサイバー攻撃(ハッキング・乗っ取り・不正アクセス)が発生すると、他人のデジタル機器のID・パスワードを盗み内部に保存されているデータの取得・閲覧・改ざんされる危険性があります。

ハッキング・不正アクセスの兆候が見られた場合には、すぐに侵入経路や被害範囲を特定して、二次被害の抑制・再発の防止対策を行うことが必須です。ハッキング不正アクセスについては以下の記事でも紹介しているので、是非参考にしてください。

ダークウェブ調査

ダークウェブとは、GoogleやYahoo!といった検索エンジンからはたどり着くことのできないインターネット上のWebサイトを指します。一般的なブラウザ(Chrome、Internet Expoler、bing、Safariなど)からは閲覧できず、匿名性の高いネットワーク上に構築されているため、犯罪取引に利用されることも多くあります

ダークウェブ上では、本来は公開されていないはずの企業が保有する顧客データや、製品の情報、社内システムの管理者情報、ID/パスワードなどの情報が売買され、サイバー攻撃の足掛かりにされるケースが多発しています。サイバー攻撃によって盗んだ情報を取引する場として最適であり、金銭目的の犯行によって転売・拡散されることが多いです。

自力ではそもそもアクセスすることが難しく、ダークウェブにアクセスすること自体がとても危険です。フォレンジック調査会社では、専門技術を利用してダークウェブ上のデータを安全に調査し、情報が漏えいしていないか調べることができます。

ダークウェブにアクセスしての調査は、危険を伴う上に難易度が高いため、知識や技術を持った専門家に相談しましょう。

OSINT調査

OSINT(Open Source Intelligence)とは、公開されている情報を収集・分析することを意味するサイバーインテリジェンスの一種のことです。フォレンジック分野のOSINT調査は本来の員にとは異なり、公開されているインターネット上(ダークウェブを含む)に、流出された個人情報や秘密情報がないかの情報収集・調査する作業を指します。調査可能な項目は以下のようなものがあります。

  • データの漏えいの有無
  • どこにデータが漏えいしていたか
  • なぜデータが漏えいされていたか
  • 何のデータが公開されているか など

個人情報や社内の情報などを知らぬうちに公開されていて、そのままの状態で放置すると、情報漏えい被害の拡大や、営業損失が発生する危険があります。

OSINT調査を行うことで、インターネット上に情報が漏えいされた場合でも早期に発見し、被害拡大や二次被害の発生を防ぐことができます。併せて調査結果のレポート作成も可能なため、インシデント発生時の報告もスムーズに行うことができます。

ペネトレーションテスト(ペンテスト)

ペネトレーションテストとは、日本語で侵入テストのことを指します。フォレンジック調査会社では、システムコンポーネント上のセキュリティ機能に侵入できる可能性があるかテストを行います。その調査手法として特徴的なのが、デジタル機器の所有者同意のもと、ハッカーが実際に使用する手口と同様の方法で社内システムへ侵入してセキュリティのテストを行うことです。

特に個人情報や社内の機密情報などの重大な情報を管理している端末やセキュリティシステムを対象としてテストし、情報漏えいによる被害の発生を未然に防ぎます。

テストを実施した後に、問題点を特定・報告を行います。調査範囲はインフラや組織・ルールなどを含むセキュリティシステム全般を対象としています。調査会社によっては、脆弱性の診断だけでなく、見つかった脆弱性に対する今後のセキュリティ対策を提案してもらえるため、セキュリティ対策に不安がある時は一度調査を依頼しましょう。

脆弱性診断

22年4月の改正個人情報保護法の施行以後、企業の情報漏えいに対する対応の厳格化・厳罰化が進んでいます。インシデント発生前の情報漏えい対策の需要も高まっており、事前にセキュリティホール(情報セキュリティ上の欠陥)を把握する「脆弱性診断」を実施する企業が増えてきました。

脆弱性診断では、企業のサーバー・ネットワーク、使用しているアプリケーションにセキュリティ上の脆弱性がないかどうかテストします。予め脆弱性をチェックして改善しておくことで、サイバー攻撃被害のリスクを回避することができます。脆弱性診断は、以下を対象として脆弱性がないかを診断します。

  • アプリケーション(スマホアプリ・WEBアプリ)
  • プラットフォーム(CMS・ミドルウェア・サーバー・ネットワーク) 
  • その他(業者によって調査可能な範囲が異なる)

WEB上で入手可能なアプリやプラットフォームなどのシステムは、悪意を持って配信されているものも多いので、脆弱性を確認しておくことで事前にセキュリティ対策を実施することが可能です。

社内不正の調査

フォレンジック調査は「社外」だけでなく「社内」での不正行為を調査するのに有効です。社内調査が可能なインシデントは主に以下のようなものがあります。

  • 横領・脱税・データ改ざん
  • 情報漏えい・退職者調査

横領・脱税・データ改ざん

フォレンジック調査では、事実をねつ造した不正経理や、背任・業務上横領などを調査できます。社用端末には、背任にまつわる形跡が記録されていることも多いものの、社内不正を起こす従業員は、パソコンのアクセスログや、電子メールの送受信履歴などを削除し、証拠隠滅に走る傾向があります。

削除されたデータから正確な情報を掴みたいという場合は、不用意な機器の操作は行わず、データ復元も行うフォレンジック調査会社に依頼することが有効です。

情報漏えい・退職者調査

不正社員は、盗んだ情報を他社に売り込んだり、退職時、端末から情報を抜き取ったりします。この場合、端末や過去ログを調査することで他社との不正なやり取りや、データのコピー履歴を調査することが可能です。

なお、退職者の移籍に伴う訴訟では、移籍した会社へ対し、証拠保全手続き(民事訴訟法234条)を行い、調査を行う場合もあります。

参考情報漏洩の原因(2018)JNSA

不正アクセスなどのサイバー犯罪よりも、紛失や置き忘れ・誤操作など、人為的なミス・過失による情報漏洩が、情報漏洩原因の50.8%を占めているというのが事実です。

情報漏えいが発生した際に企業は損害賠償責任・機密情報の紛失・業務の停止・刑事罰などのリスクがあるので、対策しておくことは重要です。

労務訴訟・労働争議(残業代・ハラスメント)

会社内部における労務関連のインシデント調査にも、フォレンジック調査が活用されています。

具体的な活用例は次のとおりです。

  • 残業代の不当請求の証明
  • 職務怠慢の証明
  • ハラスメントの証明

残業代の不当請求・職務怠慢の場合、フォレンジック調査でパソコンの利用状況から勤務実態を把握できます。またハラスメント証明では、チャット履歴やメール履歴の復元によって、ハラスメントに該当するやり取りの履歴を確認し、労務訴訟の証拠として法廷で利用することも可能です。

遺産相続トラブル

遺産相続に必要な資料は多岐にわたり、電子データとして一元管理される事も目立ってきています。しかし、データが記録されたPCやHDDなどデジタル端末には厳重なセキュリティがかかっていることも多く、ロックがかかった機器からデータを取り出そうとすると解除が不可能になったり、データが消えてしまうことがあります。

フォレンジック調査では、このようなケースでもパスワード解除などを行うことで、適切に対応することが可能となっています。

デジタル遺品の種類から、起こり得るトラブルについては下記の記事でも詳しく解説しています。

知的財産の窃盗調査

デジタルデータも知的財産の一部として認められています。技術開発データや顧客リストといった知的財産を窃盗し、証拠がわからないように窃取時のログを偽装・削除する事案は多発しています。デジタル・フォレンジック技術を活用することで窃盗の痕跡を復元し、法的措置のための証拠として使用することができます。

eディスカバリ(e-discovery)

eディスカバリ(e-discovery)とは、米国において民事訴訟を起こされた際に、訴訟に関わる電子証拠をすべて収集し、開示を行うことを規定した制度です。万が一違反したと判断された場合は膨大な罰金が科せられることもあり、裁判でも不利になるため注意が必要です。

日本国内の訴訟であれば直接関連はありませんが、たとえ日本の企業であっても、米国で民事訴訟を起こされた場合には対応必須となります。フォレンジック技術を活用することで、eディスカバリへの対応が可能です。


これらはインシデントの例です。個別のトラブルの状況や目的によって、調査範囲や必要な技術が異なります。まずは調査会社に相談し、調査の目的やデジタル機器の状況を共有したうえで、どのような調査や対策を実施すべきかを決定していくことが重要です。インシデントが発生してお困りの方は、すぐに相談可能な調査会社に相談しましょう。

フォレンジック調査が義務づけられるケース

フォレンジック調査は、デジタルデータを介した様々なインシデントの調査において非常に有効です。

特に、法人は情報の取り扱いに関して厳格な管理を求められており、2022年に「改正個人情報保護法」が施行されたことで、万が一個人情報の漏えいが発生した場合には、個人情報保護委員会への報告・本人への通知が義務づけられました。

適切な対応を行わない企業には、最大で1億円の罰金と社名公開という重いペナルティが課せられることになり、フォレンジック調査の必要性も高まっています。

マルウェア・ランサムウェアなどに感染不正アクセスサイバー攻撃を受けた疑いがある場合は、感染経路や影響範囲を特定するために信頼できる調査機関でのフォレンジック調査を行いましょう。

マルウェア感染や社内不正などで個人情報の漏えい・流出等の危険性がある場合には、適切な対処をしなければ罰則の対象となる可能性もあります。

改正個人情報保護法とは

個人情報保護法は2022年4月に改正されました。個人の権利利益の保護を重視し、情報漏えいに対する会社の漏えい時の報告義務が追加されています。情報漏えいに関して改正された主な内容は以下の通りです。

  • 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化
  • 個人情報保護委員会・被害を受ける可能性への報告義務(速報:発覚日から3~5日以内、確報発覚日から30日以内)
  • 課せられる罰金の増大(30万円~50万円→50万円~1億円)

情報漏洩が起きた場合、「個人情報保護委員会」と「被害を受ける可能性がある本人」に対して、事実調査と報告の義務が発生します。指定の期間までに行わなかった場合には、最大で1億円の罰金が科せられるだけでなく、最悪の場合には会社名が公表される可能性があります。

企業の情報漏えいは信頼関係の失墜だけでなく、金銭的なペナルティや業務停止のリスクがあるため、発生した際にはすぐに報告を行い、原因や被害状況の調査を依頼しましょう。

ここでいう個人情報とは、氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード番号・パスワードなどのことですが、個人情報でなくとも、1,000件以上の大規模な情報漏洩の場合は報告・通知が義務付けられています。また、未確定の段階で合っても事案発生の「おそれ」がある場合は報告が必要です。

個人情報保護法による「個人情報保護委員会への報告義務」の詳しいについては以下の記事でも紹介していますので是非参考にしてください。

正式な報告書作成のためにはフォレンジック調査会社への依頼を推奨

個人情報の漏えい等が発覚し、各方面への報告義務が発生した際には、情報漏えいの発生期間や事実の有無、経緯や発生原因などを詳細に調査した報告書の作成が必要です。自社調査は証拠能力不十分と判断される可能性があるため、第三者機関に調査を依頼することが一番です。

フォレンジック調査会社では、法的にも証拠能力を持つ正式な資料の作成が可能です。ただし、会社によって調査能力やスピードに差があったり、調査目的や調査できる機器などの対応範囲が異なります。

正式に報告が必要になった場合には、より実績豊富で信頼できるフォレンジック調査会社に相談しましょう。おすすめの調査会社は以下で紹介しています。

デジタルデータフォレンジック


公式HP>デジタルデータフォレンジック

✔警視庁への捜査協力を含む、累計32,377件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)

デジタルデータフォレンジックは、累積ご相談件数32,377件以上を誇る、対応件数では国内最大級のフォレンジック会社です。マルウェア感染・情報漏洩・社内不正から、データ復元技術を活用したデータのサルベージまで幅広くサービスを展開しています。

フォレンジック調査会社を選ぶときのポイント

調査会社を選ぶときのポイントは次の6つです。

官公庁・捜査機関・大手法人の依頼実績がある

上場企業や警察・官公庁からの依頼実績があるかどうかも、調査会社の信頼性を判断する上で重要なポイントとなります。

多数の相談実績を持つ調査会社は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。

スピード対応している

サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している調査会社であれば、素早い対応を期待できるでしょう。また「ファストフォレンジック」「DFIR(デジタルフォレンジック・インシデントレスポンス)」などスピード対応に特化したフォレンジック調査が可能である調査会社を選ぶのも、重要なポイントとなってきます。

なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。

セキュリティ体制が整っている

セキュリティ対策をしっかりと行っている調査会社では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした会社のみ習得できるもので、フォレンジック調査会社の信頼性を判断するポイントにもなります。

フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも調査会社側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。

また、一定の技術レベルやセキュリティの高さを見極めるために、経済産業省が規定した「情報セキュリティーサービス基準」にクリアした企業から依頼先を選ぶようにしましょう。

情報セキュリティサービス基準とは?

近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように経済産業省が規定した基準です。

セキュリティーサービス基準を満たした調査会社についてはこちらの記事でも紹介しています。

法的証拠となる調査報告書を発行できる

フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門調査会社に対応を依頼することを視野に入れておきましょう。

データ復旧作業に対応している

フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、社内不正などでは、対象となるデータやファイルが削除されていたり、あるいは対象となる機器が破壊されていることも多く、通常のアクセスが不可能ということも珍しくありません。そのため、データ復元を行ったうえで、調査を行う必要があります。しかし、メモリ機器、または深刻な傷が付いたHDDからのデータ復旧は難易度が高いことから、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査会社に対応を依頼することが重要となってきます。

費用形態が明確である

デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが理由です。

目的とする調査がどの程度の費用か依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイト>デジタルデータフォレンジック

デジタルデータフォレンジックは、累計32,377件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計32,377件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

フォレンジック調査を依頼する際の注意点

フォレンジック調査を実施する際の注意点として、次の5点があります。

  • 調査に時間がかかるため緊急の場合は土日祝日の営業日をチェック
  • 企業の場合データが膨大のため社内連携も重要
  • 自社調査は証拠能力不十分と判断される可能性がある
  • 不審なファイルやデータは触らずに保管する
  • 対応が遅れると二次被害が発生する可能性がある

調査に時間がかかるため緊急の場合は土日祝日の営業日をチェック

フォレンジック調査は、複雑かつ緻密なデータ分析を要するため、調査に1週間以上かかる場合がほとんどです。

調査する内容によっても大きく左右されますが、ウイルス感染の疑いがある場合などは、まず感染の範囲を調査した後、発信源の機器を特定・機器ごとの個別調査を実施する必要があり、2週間以上かかるケースもあります。

休日や祝日をまたぐ場合はさらに期間が伸びることもあるため、緊急性の高い依頼は土日・祝日も調査を進めてくれる会社を選ぶとよいでしょう。

企業の場合データが膨大のため社内連携も重要

企業では、顧客の個人情報や営業にかかわる大量のデータが保存・送信されており、データが複数のデバイスや場所に分散していることが想定されます。各所に分散したデータをまとめて調査する必要があるため、社内での連携も重要です。

フォレンジック調査を行うエンジニアなどに情報を事前に共有しておかないとより調査に時間がかかることなどがあるため、依頼をする際には、情報交換を密に行い連帯をしっかりしましょう。

自社調査は証拠能力不十分と判断される可能性がある

情報漏えいのように重大なインシデントが発生した場合、フォレンジック調査を行う必要がありますが、自社で調査を行わないようにしましょう。

個人情報流出などの重大インシデントの場合は、自社調査では不十分とされ、第三者の調査機関による調査結果を求められたり、第三者委員会を設置して追加調査を行うケースもあります。

社内不正・横領による刑事事件に発展した場合や、個人のトラブル等で法廷資料として証拠データを提出する際は、専門の調査会社によるフォレンジック調査で正しいステップを踏んで「証拠保全作業」を行わなければなりません。

そのため、フォレンジック調査を行うにあたって以下の3点は行わないように注意しましょう。

  • 自力でデータをコピーする
  • 市販のデータ復旧ソフトを試す行為
  • 機器の電源を切らない

自力で消えたデータを復元しようとしても、機器の状態や誤操作によって証拠データを上書き・削除・書き換えが発生してしまう恐れがあります。この状態でフォレンジック調査を行うと、データを意図的に改ざんしたとして、公的機関からデータに証拠能力がないとみなされる恐れもあります。第三者機関にフォレンジック調査を依頼する際は、機器の電源を切らずにスリープモードで管理するようにしてください。電源を切ってしまうと、一部のログが削除されてしまう可能性があります。これはマルウェア感染などサイバー攻撃のフォレンジック調査をする場合も同様です。

不審なファイルやデータは触らずに保管する

フォレンジック調査で、正確な調査を行いたい場合は、不正の痕跡となる不審なファイル・データを消去してはいけません。これらデータは不正アクセスやハッキング、情報漏えい被害の証拠として、利用できる可能性があるためです。

誤操作で重要な痕跡となる通信のログを削除してしまったり、マルウェア感染が更に拡大する、不正調査の痕跡が消されてしまうといった二次被害が起きる可能性があります。

また、消去するつもりはなくても、個人で機器の解析作業などを行うと、必要なデータやログが上書きされ、「いつ」「どのように」「なぜ」インシデントが発生したのか不明瞭になってしまいます。たとえば、事件現場で鑑識調査が入る前に、第三者が至る所を物色すると、元の現場の様子が失われ、無関係な指紋がついてしまいます。デジタルデータでもこれは変わりありません。

対応が遅れると二次被害が発生する可能性がある

調査依頼が遅れることによって、以下のような二次被害が発生する可能性があります。

  • システムが停止して業務が稼働できなくなり、金銭的な損失が発生する
  • 別の機器にまで感染被害が拡大して必要なコストが増える
  • データを上書きして調査が難しくなる
特に企業にとっては長期間業務が停止するのを一番避けたいはずですので、早期調査を実施しておくのが一番です。情報漏えいの事実が発覚した時点ですぐに調査会社に相談しましょう。

フォレンジックの種類

フォレンジック調査は、調査の対象によって分けられ、大きく下記の2つに分けられます。

  • コンピュータフォレンジック
  • ネットワークフォレンジック

コンピュータフォレンジック

コンピュータフォレンジックとは、PC・ハードディスク・メモリなどの機器からデジタル情報を特定・保存・復元・分析し、不正操作の証明被害全容を特定する技術のことです。

コンピュータフォレンジックは、さまざまなコンピュータ犯罪の捜査に活用されているほか、裁判・訴訟においても信頼できる技術として広く受け入れられています。

デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。

モバイルフォレンジック

コンピュータ・フォレンジックでも、モバイル端末に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。

モバイルフォレンジックでは「通話履歴やメール履歴」「アプリのインストール履歴」「アクセスログの解析」などを行い、場合によっては「削除されたデータの復元」なども行います。

なお、モバイル端末はパソコンと構造が大きく異なり、その上、OSの更新も早いため、解析には高度な技術力が必要不可欠です。

メモリーフォレンジック

コンピュータ・フォレンジックでも、メモリーに特化したフォレンジック調査は「メモリーフォレンジック」と呼ばれます。

メモリー上の悪意のあるソフトウェアによって外部に情報を流出させるなどの手口を利用している場合には、メインの記憶媒体にはデータが残らないことがあります。

ネットワークフォレンジック

ネットワークフォレンジックとは、ネットワーク上のデータの動きを解析対象とした調査方法のことです。

不審な挙動を検出するため、必要に応じて通信内容の復元を行うほか、不正アクセスの経路などを分析し、不正が疑われる端末を絞り込むことで、被害状況の解明につなげます。

ファストフォレンジック

近年は「ビッグデータ時代」と呼ばれるほどデータが膨大になっており、フォレンジックの手間が増えて調査に時間を要してしまうのも現状です。そうした課題を解決するための新しい手法に「ファストフォレンジック」があります。

ファスト・フォレンジックとは、名前の通り「短時間で適切かつ迅速な初動対応」が行えるデジタル・フォレンジックであり、社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能で、インシデントの早急な把握・解消に役立ちます。

ファスト・フォレンジックについては以下のページで詳しく紹介しています。

フォレンジック調査の前後で行うこと

フォレンジック調査をの前後では以下の3点を行ってください。

  • 初期対応およびフォレンジック調査
  • 外部向けの対応
  • 内部での対応

初期対応およびフォレンジック調査

インシデント後は、被害の拡大を防止する「初動対応」(インシデント・レスポンス)がマストです。しかし、不適切な初動対応を行うと、証拠データが上書き・消失する恐れあります。たとえば「ウイルスソフトで不正なソフトを削除・隔離した」「履歴を削除した」「再起動を繰り返した」といった些細な操作であっても、データ消失のリスクがあるため、あらかじめ初動対応で連携可能なフォレンジックの専門調査会社とコミュニケーションをとりながら対応するのが、重要です。

外部向けの対応

個人情報の漏えいが疑われる場合、保護委員会や監督官庁など行政機関への報告を行いましょう。また被害全容を特定した状態で、損害補償など今後の対応を広く公表し、場合によっては、公式HPやプレスリリースなどでも情報開示を行いましょう。

内部での対応

フォレンジック調査の報告書をもとに、関係する職員の処分をはじめ、セキュリティ上の脆弱性を徹底的に排除しましょう。またセキュリティ教育を行うなどコンプライアンス意識を高め、再発防止策を計画的に実施していきましょう。

フォレンジック調査にかかる費用・相場

相場としては機器1台につき数十万~数百万円程度はかかるのが一般的ですが、金額はフォレンジック調査会社・調査会社によってもまちまちのため、まずは相談して見積りをとりましょう。

フォレンジック調査の費用は以下の記事でも詳細に説明していますので、ぜひ参考にしてください。

フォレンジック調査を怠ると発生するリスク

サイバーインシデントというのは、些細な変化の時点ですでに被害が発生し始めていることも考えられます。

  • デジタル機器の動作が重い・バッテリーの減りが早い
  • あったはずのデータが削除されている・改ざんされている
  • 心当たりのないメールを受信する・不審なアプリがダウンロードされた
  • 社内で不審な操作履歴を発見した など

これらの異変を感じた時は、情報漏えいやマルウェア感染などの被害が発生する予兆である可能性があります。サイバー攻撃は思っているよりも身近な存在で、気づかぬうちに取り返しのつかない被害が発生します。

そうならないためにも、フォレンジック調査の重要性を認知しておき、危機感を持っておくことが重要になります。ここでは、フォレンジック調査を怠ると発生する以下のリスクについて解説します。

  • 認識していないところで被害が発生している可能性がある
  • 同じインシデントが再発する可能性がある
  • 自力の調査では証拠能力が認められない可能性がある
  • 法的措置が発生する可能性がある

認識していないところで被害が発生している可能性がある

フォレンジック調査を怠ると、解消したと思っていたインシデント被害が、別の機器やネットワーク上で拡大していて、認識していないところで被害が発生している可能性があります。特にサイバー攻撃は対象機器だけでなく、同じネットワークを使用している機器や、外付け接続している機器から被害が拡大します。

フォレンジック調査会社では、インシデントが発生している被害範囲を特定することができます。被害が発生している機器だけでなく、周囲の機器に被害が拡大していないかも調査するようにしましょう。

同じインシデントが再発する可能性がある

フォレンジック調査を怠ると、インシデント事態を解消できたとしても、同じ手口で再発する可能性があります。サイバー攻撃の被害は一度だけとは限らず、何度も繰り返し攻撃されることもあります。そのため、何が原因でサイバー攻撃の被害を受けているのか特定することが重要です。

フォレンジック調査会社では、ハッキングやマルウェア感染などが発生した原因となる侵入経路の調査が可能です。インシデントが発生した時には、その解消だけでなく、原因を明確にしたうえで対策を行うようにしましょう。

自力の調査では証拠能力が認められない可能性がある

そもそもフォレンジック調査は、法的な手順を守る必要があるため、企業や組織内で調査を行うことは非常に難しいと言われています。

デジタルデータは、誰でも容易に復製・消去・改変することができます。そのため、調査結果を各所への報告レポートや裁判の証拠として利用する場合には、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要になります。そのため、知識や技術がないまま調査した結果は、「証拠能力」のない無効なデータとされる可能性があります。

この証拠保全作業には、普通のデータコピーではなく、専用のツールを使用する必要があります。正確な調査結果を利用したい場合は、自力で調査するのではなく、専用機器とノウハウを保有している調査会社に相談しましょう。

法的措置が発生する可能性がある

フォレンジック調査を怠ることで、本来受ける必要のなかった法的措置や、二次被害・三次被害が発生する可能性があります。

例えば、個人情報を漏えいしていた場合には、個人情報保護法に従って、発覚してから3~5日以内に速報、30日以内に確報を報告する義務が発生します。違反した場合には、最大一億円の罰金が発生します。

このように、インシデントが発生してからフォレンジック調査や各所への報告を怠った結果、法的措置や企業ブランドの低下などの取り返しのつかないことに発展するため、調査は怠らずすぐに対処するようにしてください。

日本でのフォレンジック活用事例

日本での主要なフォレンジック活用事例は次のとおりです。

フロッピーディスクの改ざん事件

2009年、厚生労働省局長が制度悪用の嫌疑で起訴された際、検察側がフロッピーディスク内に保存されていた文書データを偽造したとして大問題になりました。この事件では、検事が上書きによる証拠隠滅をはかったのですが、フォレンジック調査で内部情報と更新日付に齟齬があることが発覚し、文書偽造の証明につながりました。

従業員の情報漏えい

不正な持ち出しが原因で発生した個人情報流出事件に「ベネッセの大規模情報流出」(2014年)があります。このようなケースでも、フォレンジック調査で内部のサーバやネットワーク機器を解析することで、情報流出に至った原因や過程を調査することが可能です。また解析で得られた情報は、不正社員を相手取った民事訴訟でも法廷資料として活用する事が可能です。

横領調査

企業の従業員が横領をした場合、何らかの処分をするには、事前に十分なフォレンジック調査をして、横領の有無や被害金額を確定することが最も重要になります。たとえば、弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。

  • 数千万円の着服が発覚。社内サーバーはだれでも触れる状態で、共有パスワードが原因で不正アクセスされた。

この場合、端末を解析することで「外部の人間とのやりとり」「本件に関わるやり取り」、さらには転売先の特定につながりました。

遺族の機器のパスワード解除

弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。

  • 亡くなった家族がPCで金融機関とやり取りしており、PCのロック解除・取引状況・IDやパスワードを確認したい。

この案件では、パスワード解除後、ブラウザのブックマークなどから登録された金融機関を確認でき、問い合わせること取引状況の確認に成功しました。

隠滅されたデータの復元

本来はデータが入っているはずの機器が破壊されていたり、フォルダごと削除されているなど証拠隠滅が行われている場合、データ復元をおこなう必要があります。

データ復元は、市販ソフトで手軽に行うこともできますが、データを取り出せる確率は低く、仮に復元できたとしても、データに法的証拠能力を持たせる手続き(フォレンジック)を踏んでいないと、証拠としては認められないこともあります。

そのため、隠滅されたデータを復元し、犯罪や不正行為を立証するには、フォレンジック調査を行うことが重要となってくるのです。

力士八百長事件の携帯端末のデータの復元

2011年に、力士の野球賭博についての事件調査で押収した機器から、賭博事件とは関係のない八百長が疑われる証拠が検出されました。力士から押収した機器はスマートフォンで、大相撲協会主導でのフォレンジック調査を実施した。

押収した携帯電話に対するモバイルフォレンジックによって、メールおよびLINEの履歴などの解析作業を行いました。その結果、25人の力士や親方に対して解雇や引退勧告などの処分が発生した。

当人たちが削除したデータであっても、完全に上書き・初期化されていなかったためにデータの復元に成功した事例です。

フォレンジック用の調査ツールを解説

ここでは、デジタルフォレンジックで利用されるツールを紹介します。ここでは主にサーバー攻撃関連のツール・社内不正調査関連ツール・その他のインシデントツールの3つに分けて紹介します。

サイバー攻撃関連のツール 社内不正調査関連のツール その他のインシデントのツール
  • Microsoft Safety Scanner
  • トレンドマイクロオンラインスキャン
  • F-Secure オンライン スキャナ
  • ESET Online Scanner
  • am I infected? など
  • AOS Fast Forensics
  • Akai-logger
  • Gチェッカー
  • minuku
  • RiskAnalyze など
  • WebBrowserPassView(パスワード解析)
  • PasswordEye(パスワード解析)
  • vex(セキュリティ診断ツール)
  • AeyeScan(セキュリティ診断ツール) など

目的によって、様々な種類のフォレンジック調査ツールがあるため、もし企業内に導入する場合は、目的に合わせたツールを見極めて導入することが必要です。ツールのHPを確認すれば、どのような機能を持っているのか確認できるはずですので、導入する前には一度確認するようにしましょう。

しかし、フォレンジック調査ツールは数多く存在しますが、そのどれもが簡易的なものであって、万能ではありません。データの証拠保全はもちろん難しく、フォレンジックサービスに比べて調査の正確性や信頼度も低い内容となっています。簡易的な調査を実施したい場合には有効ですが、正確な調査をして結果の報告が必要な場合には適していません。

確実に調査したい場合には、フォレンジック調査ツールを利用するのではなく、すぐに実績が豊富な調査会社に相談しましょう。

インシデントが発生しないためのセキュリティ対策

フォレンジック調査を実施した後には、インシデントが発生しないためのセキュリティ対策を実施することが重要になります。インシデントが発生しないためのセキュリティ対策として、以下のようなものがあります。

  • 不審なメール・添付ファイルを開かず、マクロを無効化する
  • 複雑なパスワードを設定する
  • OSやソフトウェアのアップデート
  • 適したセキュリティ製品を導入する

不審なメール・添付ファイルを開かず、マクロを無効化する

不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送会社を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。

とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。

複雑なパスワードを設定する

簡単なパスワードや、推測しやすいパスワードを特定され、ランサムウェアに感染させられたケースの場合は、複雑なパスワードを設定することで、ある程度の対策ができます。複雑なパスワードは以下のようなものが挙げられます。

  • 可能な限り長い(12桁以上を推奨)
  • 英数字記号が混在している
  • 使いまわさない

用途によって使い分けることによって、もしパスワードが流出したとしても被害を最低限に抑えることができます。また、多要素認証を利用することも、セキュリティ対策の一環になります。

OSやソフトウェアのアップデート

WindowsやMax OSなどのOSやMS Officeなどのアプリケーションソフトウェアの定期的なアップデートを欠かさないようにしましょう。ソフトウェアには脆弱性が付き物であり、開発者は脆弱性を発見次第、すぐに修正を行い、最新版のソフトウェアを公開しています。

特に脆弱性の発見から開発者による修正のタイムラグを利用して攻撃する「ゼロデイ攻撃」による被害は深刻です。少しでも無防備な状態を短くするためにも、使用しているOSやソフトウェアのバージョンアップ情報を定期的にチェックし、常に最新のバージョンのソフトウェアを使用することが重要です。

適したセキュリティ製品を導入する

フォレンジック調査した後には、適したセキュリティ製品を導入して対策を強化することが重要になります。セキュリティ製品はどの脆弱性に対して対策するかによって適性が異なるため、フォレンジック調査の結果をもとに設置することが重要になります。

フォレンジック調査会社によっては、調査結果をもとに適切なセキュリティ製品や対策方法を紹介してもらえるので、セキュリティ対策のサポートも可能な調査会社を選ぶようにしましょう。

まとめ

今回は、フォレンジック調査の概要やサービスの流れ、調査会社選定の方法について解説しました。フォレンジックサービスは、まだまだ日本では認知度の低いサービスですが、IT化が加速しているなか、その需要はますます高まっています。デジタル機器やネットワークを通してインシデントが発生した場合には、フォレンジック調査サービスの利用を検討するのも解決に向けた一手になるでしょう。

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談