ＭＳ＆ＡＤ
サイバーリスクファインダー

あなたの会社のメールアドレス１つで
サイバーリスク・被害想定額等を可視化する

今すぐ無料の初回診断

取次・紹介：双日インシュアランス
提供元　　：MS&ADインターリスク総研
登録方法の流れはこちら

退職者が退職前に「社内不正を行っていた」「情報を持ち出している」などの疑惑が上がったときには、使用していた機器を細かく調べることが重要になります。使用していた機器(PC・スマホ・HDDなど)に含まれているデータや履歴を調査・分析を行うサービスを、「退職者調査サービス」といいます。

社内不正が起きた場合、「企業の競合力低下」や「顧客情報の漏えい」「業務停止」といった取り返しのつかない被害が発生する可能性があるため、すぐに事実調査が可能な会社に依頼する必要があります。

本記事では、退職者の不正行為を調査する方法や調査で判明すること、調査会社の選び方を紹介します。

退職者調査（フォレンジック調査）とは

犯罪調査においては、フォレンジック（データの分析による証拠の発見）が重要な役割を果たします。

フォレンジックを実施するにあたって、まずは対象者が利用していたPCやサーバ上のデータを欠けることなく確保・保存する必要があります。

しかし、退職者が犯罪に関与していた場合、証拠を隠滅するためにデータを消去したり、暗号化したりするケースもあります。そのため、利用していたPCなどの機器を早急に確保してデータを保全する必要があります。その後、データの中身を分析することが重要となります。

これには、データの復元や暗号化の解除、ログファイルの検証、メールやメッセージの復元、ストレージの調査などが含まれます。また、捜査対象者の人物像を把握するために、通信履歴の解析なども必要です。これらの作業により、より多くの情報を収集し、正確な証拠をつかむことができます。

PC調査サービス（フォレンジック調査）が利用されるケースとは？

退職者PC調査サービスが利用されるケースとしては以下のようなものが多いです。

• 機密情報の漏洩の疑いがある
• 法的紛争や訴訟が発生した
• コンプライアンスや規制要件の遵守確認

また、退職後ではなく、退職前からそういった不正を行っているケースもあるため、性悪説を前提とした対策をあらかじめ行うことが望ましいです。

機密情報の漏洩の疑いがある

退職者が機密情報を外部に持ち出した可能性がある場合、その証拠を収集するためにPC調査サービスが利用されます。情報のコピー履歴やファイルアクセスログ、通信履歴などを調査し、機密情報の漏洩があったかどうかを特定します。

非公開: 退職者のデータ・情報持ち出しで会社が取るべき対応とは？

2020.10.16

近年IT化が進み、個人情報や秘密情報をデータ化することが当たり前となり、USBメモリなどの機器を使用し、簡単に外部への持ち運びが可能になりました。 しかし退職者が会社のデータ持ち出しを行い、秘密情報の漏洩や悪用が発生されるケースがあり

法的紛争や訴訟が発生した

退職者との間で法的な紛争や訴訟が発生した際、退職者のPC内のデータや活動履歴を調査することで証拠を収集します。不正行為や契約違反の証拠を見つけるためにPC調査サービスが活用されます。

コンプライアンスや規制要件の遵守確認

企業はコンプライアンスや規制要件を遵守する必要があります。

この際、退職者のPCを調査することで、企業が適切なセキュリティ対策やデータ管理手順を実施しているか確認することがあります。

退職者調査（フォレンジック調査）が利用されるケースについては下記の記事でも詳しく解説しています。

非公開: 退職者による不正アクセス・情報持ち出しの目的・調査方法を徹底解説

2021.7.23

退職者が、企業のPCやサーバーに不正アクセスする・競合他社にノウハウや顧客データが漏えいするなど、退職者の不正は珍しくありません。2019年にはソフトバンク社員が情報を持ち出して転職したことが問題になったように、大企業でも退職者問題が起きて

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録は
こちらから

退職者調査（フォレンジック調査）で判明すること

退職者調査（フォレンジック調査）では、デジタル機器に保存されているデータやログを調査し、証拠や事実を収集します。

この事実をもとに、各方面への報告や罰則通知、懲戒解雇などの対処をしていくことになります。証拠を利用する目的を明確にしておくと、必要なデータも明確になるため、調査をスムーズに進めることができます。

退職者調査で判明することは以下のようなものがあります。

• アクセス履歴と活動（アクティビティ）
• ファイルやデータの操作履歴
• メールや通信履歴
• 接続されたデバイスの調査

アクセス履歴と活動（アクティビティ）

フォレンジック調査では、退職者がアクセスしたシステムやファイル、ネットワークへの接続履歴が特定します。具体的には、ログイン情報、ファイルの閲覧や編集の記録、データベースへのアクセス履歴などが含まれます。これにより、退職者がどのような活動を行ったかを特定することが可能です。

ファイルやデータの操作履歴

フォレンジック調査では、退職者が操作したファイルやデータに関する履歴（ファイルのコピー、移動、削除、改ざんなどの操作）を解析します。

これにより、退職者が機密情報や重要なデータにアクセスし、それらを外部に持ち出したり損失したりしたかどうかを判別します。

メールや通信履歴

退職者が送受信したメールや他の通信の内容や履歴は、不正調査において欠かせません。

フォレンジック調査では、機密情報の漏洩や不正行為の証拠を見つけるために、退職者と関連する電子メールやインスタントメッセージ、社内チャットなどの通信内容を解析します。仮に削除・改善されていた場合でも高度なデータ復旧をおこなうことで、出来る限り復元した状態でデータを解析します。

接続されたデバイスの調査

退職者が使用していたコンピュータやモバイルデバイスに接続された外部のデバイス（USBメモリ、外部ハードドライブなど）の履歴や使用状況も調査できます。これにより、不正なデータの転送や外部デバイスの使用による情報漏洩の可能性を特定できる場合があります。

デジタル機器は、そもそも調査可能かどうかを自力で判断するのは難しいため、まずは無料で相談できるような調査会社に相談し、調査できるかどうか確認するようにしましょう。

フォレンジック調査を依頼するメリット

退職者の機器を調査する時にフォレンジック調査会社に依頼するメリットは、大きく3つあります。

• 証拠保全した状態で調査可能
• 短期間で正確な調査が可能
• 報告用のレポートの作成が可能

証拠保全した状態で調査可能

フォレンジック調査で一番重要なメリットは、抽出したデータの「証拠保全」が可能なことです。

証拠保全とは

フォレンジック調査の際、調査対象となるデータが改ざんされていないことを証明し、法的証拠としてそのデータを確保します。この作業を証拠保全といい、所定の手続きにのっとって行う必要があります。

デジタルデータは誰でも簡単に改変・改ざんが可能であるため、法執行機関に提出する際や公的機関に不正事実を報告する際には、データの改変・改ざんが行われていないことを証明することができます。

また、デジタルデータを証拠として認めさせるには、機器自体のクローンも作成する必要があります。

クローンとは

クローンとは、「システム関係も含めたバックアップ」を指します。機器のデータをコピーするだけでなく、元データとクローンのハッシュ値や、デジタル署名などが一致するようにバックアップを取ることで、データの完全性を証明することができます。

デジタル機器の調査を専門としているフォレンジック調査会社では、この証拠保全を正確に行うことができるため、抽出したデータの信頼性や正確性を担保することが可能です。

短期間で正確な調査が可能

フォレンジック調査会社では、短期間で正確な調査が可能です。膨大なデータ量から目的のデータを抽出するために、一般的なソフトや技術では、数か月・数年かかる作業がほとんどです。しかし、フォレンジック調査会社では、約1週間から2週間ほどで調査を完了することができます。

調査する機器の台数が大規模な場合にはさらに時間がかかることもあり、期間が決まる要因は調査機器の台数・調査項目・調査目的などが挙げられます。

裁判の証拠提出期日や調査結果の公表期限が決まっている場合でも、短期間で調査することが可能ですので、インシデント発生時すぐに調査会社に相談しましょう。

報告用のレポートの作成が可能

フォレンジック調査会社では、公的機関に報告するためのレポートの作成が可能です。法律知識のある経験豊富なエンジニアが所属する会社では、裁判で重要証拠となる情報を網羅したレポートを作成することができます。

証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、「第三者の中立的な資料」として法廷利用可能な資料になります。

報告が必要な目的での調査依頼はフォレンジック調査会社に相談することが必須になりますので、すぐに相談するようにしましょう。

退職者PC調査サービス（フォレンジック調査）の流れ

通常、退職者PC調査サービスの流れは以下のようになります。

1. 依頼者と調査会社との間で相談・ヒアリング
2. 退職者が利用していたPCを確保
3. データの確保・保全（必要に応じて消去済みデータを復元）
4. 確保したデータの分析と調査
5. 報告書を作成

1.依頼者と調査会社との間で相談・ヒアリング

まず依頼者と調査会社との間で相談・ヒアリングを行います。ここでは、調査対象の確認や調査範囲の決定など、具体的な要件を明確にします。このステップでは、調査の目的や範囲を明確にし、調査の信頼性や効果を高めます。

2. 退職者が利用していたPCを確保

退職者が利用していたPCを確保します。これは、データの消失などによって必要な情報が得られなくなることを防ぐためです。もし犯罪などのケースで、必要な情報が得られない場合、証拠がないということになりかねません。

3. データの確保・保全（必要に応じて消去済みデータを復元）

調査の対象物から、専用機器を使用して必要な情報・データを保全します。このステップで保全されたデータは、法的な証拠能力を備えたデータとして保存・保管されます。このステップが重要である理由は、調査が行われた状況を正確に把握することができるためです。

なお、データがすでに消去されている場合は、特殊な技術をもとにデータの復元を試みます。

4. 確保したデータの分析と調査

保全されたデータは、専門の調査員が適切な手法で調査・解析を行います。（この過程でパソコンのログデータや通信記録、ファイルのアクセス履歴などが分析されます）

5. 報告書を作成

ステップ5では、解析が行われた証拠データに関する報告書が作成されます。この報告書には、調査結果や証拠の詳細、今後の対応に関するアドバイスなどが報告されます。このステップでは、調査の結果を明確に体系化されるため、企業や団体が人事戦略を策定する上での参考になります。

退職者調査（フォレンジック調査）の事例

フォレンジック調査により、退職者のパソコンや電子メールのログが分析され、機密情報の持ち出しと競合他社への提供が明らかにすることができます。これにより、企業は情報漏洩の特定と予防策の強化に取り組むことができ、競争力の維持と将来的な損失の回避につながったケースは多く存在します。

ここでは、会社が退職者調査（フォレンジック調査）を実施した事例を紹介します。

• 人材派遣会社の顧客情報漏えい事件
• 航空会社の保安情報持ち出し事件

人材派遣会社の顧客情報漏えい事件

ある人材派遣会社では、退職した元社員Aが情報持ち出しをしている可能性が浮上した。Aは退職後に自分で人材派遣会社を設立していた。

調査した結果、約15,000人分の顧客情報を在職中に持ち出していることが発覚した。自身の人材派遣サービスで利用することが目的で、登録者の性別や時給額、派遣先企業名などの営業情報が流出した。
出典staffservice.co.jp

航空会社の保安情報持ち出し事件

ある航空会社では、退職者Aが業務上の地位を地位を利用して同社保有の保安情報を不正アクセスし、外部に持ち出した疑いが上がった。Aは調査時点で、競合の航空会社に入社していた。

退職後に返却されたパソコンをフォレンジック調査したところ、Aが会社貸与のパソコンから会社サーバーの機密情報に不正アクセスし、保安情報を私物のUSBメモリにコピーし外部に持ち出していたことが発覚した。
出典yomiuri.co.jp

おわりに

このように退職者PC調査サービスは、退職者のみならず現職にある内部の人物などに対しても同じような調査が必要になるケースもあります。

しかし、共通していることとしては、以下の３点が挙げられます。

• 証拠が含まれると思われるデータを早急かつ確実に確保し保全すること
• 確実に証拠を見つけ出すこと
• そして対象者本人には気づかれずにすべてを行うこと

特定の人物から社外に流出させられたり、不正な取引をされたりした場合、莫大な損失と信頼の失墜という結果を招くケースもあります。当然ながら犯罪として扱わなければなりませんが、裁判で立証するためには明確な証拠が必要です。そのために、この「退職者PC調査サービス」は非常に重要なものです。

関連ページ一覧

• 退職者のPCから情報漏洩を防ぐためにしなければならない３つのこと

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録は
こちらから