内部不正から会社を守るために今すぐできること、効果的な「フォレンジック調査」とは

ネットエージェントセキュリティアドバイザー田端あやの氏

12月5日、マイナビ主催の情報セキュリティセミナー「2018年の情報セキュリティトレンドを振り返る」が開催された。ネットエージェントのセッションでは、セキュリティアドバイザーの田端あやの氏が登壇。「内部不正から会社を守るために今すぐできること～事例から学べる事前対策と事後対応～」と題して、内部不正を防止するために実施すべき事前対策と、実際に不正が発生した場合の初動対応の方法を紹介した。

内部不正はどんな会社でも起こる可能性がある

ネットエージェントは情報セキュリティ、コンピュータフォレンジックを専門に手がける創業18年の日本企業だ。ネットワークにつながるハードウェア、システム、IoTデバイス、自動車、ゲーム、アプリなど、さまざまなデバイスやソフトウェアを対象に、セキュリティ対策や診断・調査サービスを提供する老舗企業として知られ、2015年にはセキュリティ企業ラックのグループ会社となり、ラックが持つ知識や経験をあわせて質の高いサービスを提供している。

田端氏はまず、IPAの「情報セキュリティ10大脅威 2018」のなかで「内部不正による情報漏えい」が3年連続でランクインしていることを挙げながら「内部不正はトレンドなど関係なく発生します。どんな会社でも起こる可能性があると認識しておくことが大切です」と指摘した。

情報セキュリティ10大脅威 2018（出典：IPA）

内部不正のよくあるパターンは「情報持ち出し」「勤務怠慢」「ハラスメント」の3つに整理できる。まず、情報持ち出しについて、企業から持ち出される可能性のある情報は大きく分けて2つある。１つは顧客リストなどの個人情報、もう１つはメーカーにおける製品情報などの機密情報だ。これらは退職者によって持ち出される場合がほとんどだという。情報が持ち出されてしまった企業は、顧客の損失、信用低下、営業機会の損失といった影響を被ることになる。また、罰則としては「不正競争防止法違反」「営業秘密侵害罪」などが該当し、従業員個人・企業どちらも処罰を受ける可能性がある。

2つめは勤務怠慢だ。これは、仕事中に業務に関係のないWebサイトを閲覧するといった行為などを指す。企業側としては不当な賃金が発生することになってしまう。

3つめのハラスメントは、同僚に対するセクハラ行為やパワハラ行為などを指す。これによって大切な人材を失ってしまったり、コンプライアンス違反が発生したりといった影響を被る。

「このように内部不正は、損害賠償や信用低下、不当な賃金の発生、パフォーマンス低下、人材流出、コンプライアンス違反といった影響を与え、企業に大きな損失を与えてしまうのです」と田端氏は強調した。

内部不正調査方法の1つである「フォレンジック調査」

では、内部不正の疑いや可能性が見つかったら、どうすればいいのか。田端氏は内部不正が発覚するきっかけとして多いのは「外部からの指摘」「内部通報」「社員の勤務態度」の3つであると指摘したうえで、「まずは、内部不正が事実かどうかを確認しましょう。内部不正ではなくうっかりミスが原因であったり、勘違いであったりする可能性もあります。また、濡れ衣の可能性や、原因が違う場合は、その後の対応が変わってきます。」と解説した。

まずは、内部不正の可能性が事実かどうかを調査する必要があり、その事実確認の結果を踏まえて外部への報告や顧客へのお詫び、裁判、社内対応など必要となる対応を進めていく。この事実確認のための調査方法の1つとして有効なのが「フォレンジック調査」となる。

「フォレンジック調査は、調査対象のデジタル機器に残されたデータを複製し、証拠性を調査して、内部不正に繋がる痕跡や証拠がないか見つけることができる技術です。PCやサーバ、USB、スマートフォン、SDカードなどを対象に、ファイルの復元や通常では見つけられないようなデジタル痕跡の発見などの高度な調査を行います。また、調査は専用の機器や、公的な捜査機関も利用するような専門の調査ソフトを使って専門家が行います」(田端氏)

フォレンジック調査は、専用機器・専門の調査ソフトを利用し、さまざまなデジタル機器からファイルを復元し、高度な調査を行うことだ

調査できる項目は多種多様で、メールやファイルの復元から、Webアクセス履歴やファイルへのアクセス履歴、Webアップロードファイルの調査、USB接続や印刷の履歴、不正隠蔽ツールの実行履歴などまである。

田端氏は内部不正の事例を交えながら不正行為に対し、フォレンジック調査でどのような調査ができるのかを説明した。

まずは、退職者による顧客情報持ち出しの事例を挙げた。これは、退職した元社員から営業をかけられた自社の顧客からクレームが入り、事実確認のために調査を依頼されたケースだ。情報持ち出しの方法としては、メールで持ち出す、USBで持ち出す、Webストレージに保管して持ち出すなどの方法が考えられる。メールで持ち出された場合は、PCを調査し、今回の要件に該当しうるキーワードを元にメール検索や特定宛先メールの抽出を行って、誰にどのようなファイルを送信したかなどを突き止めていく。メールが削除されていた場合であっても、データの復元を実施することで調査ができる可能性がある。Webメールを利用している場合でも、PCをフォレンジック調査することで、メール本文や添付ファイル名、場合によってはファイルそのものを見つけることが可能だ。

同様に、USBで持ち出された場合は、PCのUSB接続履歴を確認する他、使用が確認されたUSBに対し、特定のファイルが存在するか、削除されていないかを調査する。また、Webストレージに保管して持ち出された場合は、PCを調査しWeb上にアップロードされたファイルの痕跡を発見したり、Webアクセス履歴を調査したりすることで、どのアップロードサイトを利用したのかを推測することが可能だ。

次に、現職の社員による情報持ち出しの事例を挙げた。これは、取引先から「派遣・常駐している御社の社員が、顧客情報や機密情報を持ち出している可能性があるから調査して欲しい」と言われ、事実確認のために調査を依頼されたケースだ。情報持ち出しの可能性が疑われ、事実確認をしたい場合には、USBやWebストレージの利用痕跡調査の他に、PCを調査することでファイルサーバへのアクセス履歴やファイルをコピーしていないかなどを調査することで、持ち出しの可能性を調べることが可能だ。

最後に、勤務怠慢の事例を挙げた。これは、業務量が多くないと思われるが毎晩残業をしている社員がおり、残業代目当てで残業をしている可能性があるため、残業時間中に業務とは関係のない行為をしていないか調査したいと依頼されたケースだ。このケースでは残業時間中に業務と関係のないWebサイトを閲覧したり、業務と無関係なファイルをダウンロードしていないかがポイントだ。監視をすり抜けるために、会社に無許可で仮想OSを立ち上げ、そのOS上で業務と関係ない行為をする場合もあるが、それも調査可能だ。勘付いた当該の社員によって仮想OSが削除されるケースもあるが、その場合は削除された仮想OSを復元して対応するという。

内部不正から会社を守るためにすべきこと

内部不正から会社を守るために企業はどのような取り組みを進めればいいのか。田端氏は、3つの取り組みを紹介した。

1つめは「内部不正を起こしにくい体制づくり」だ。まずは、ログを可能な限り取得し、抑止につなげることが重要だ。ログとしては、ファイル操作履歴、ADサーバやメールサーバ、ファイルサーバなどのログが挙げられる。これらのログを取得しておくことで、万が一の際に誰がどのIPでいつログインし、何をコピー/削除したか、どこからどこに、どのくらいのサイズのファイルが送られたのかなどが詳細に調べられるようになる。

また、ログを取得している旨を社内に周知すると、不正行為はすぐに見つかるという印象を社員が受けることにより抑止効果も期待できるそうだ。

各サーバ・端末でわかる情報

他にも、就業規則や契約書で、データを持ち出さない、退職の際にデータを消さないといった文言を記載し社員に遵守させること、不正競争防止法の「営業秘密の3要件」を満たす情報管理のあり方を作ることも重要だ。営業秘密の3要件とは「秘密として管理されていること(秘密管理性)」「有用な営業上又は技術上の情報であること(有用性)」「公然と知られていないこと(非公知性)」のこと。この要件を定めることで法的な対応がしやすくなる。

2つめの取り組みは「内部不正に迅速に対応できる体制づくり」だ。具体的には、調査を依頼できる複数の会社と契約しておくこと、第三者機関に依頼すること、ITに強い弁護士を見つけておくこと、予算を取っておくことの４つが挙げられる。

「特に、取引先や株主など外部への報告が必要な場合や裁判などでは、調査結果の証拠性が求められるため、第三者機関(専門家)に調査を依頼することが重要です。自社の調査では、データの改ざんなどを疑われてしまう可能性や、不用意な操作によってデータが書き換わり、証拠が失われてしまう可能性もあるのです。調査会社では、データの書き換えや証拠が失われることがないように、またできる限り証拠を得るために専用の機器やソフトを使って調査しています。そのため、調査費用は1台のHDDにつき安く見積もっても数十万円から。網羅的に原因を調査したい場合は、100〜200万円が相場となっています。また、内部不正が原因で調査をする場合はサイバー保険がおりない可能性もあることから、それを見越して予め予算を確保しておくことが必要です」(田端氏)

3つめは「内部不正が発生した際に必要な初動対応」だ。田端氏は「まずは落ち着いてください。動揺して犯人と思しき人に声を掛けると証拠が隠匿される可能性があります。また証拠が残っているであろうPC等にも触れないでください。焦ってPCを触ってしまうと、残っている証拠の痕跡が消えてしまう可能性があります。すぐに調査会社へと連絡し、PCなどの調査対象となるデジタル機器の確保、一番過去までさかのぼれるログを確保しておくことが大切です」と解説した。

まとめとして田端氏は「内部不正を起こしにくい体制づくりと、内部不正に迅速に対応できる体制づくり、まずはできることから対応していき、内部不正への備えを進めてほしい。それでも内部不正が発生してしまったら、被害を少なくすべく、落ち着いた上で迅速な初動対応をとりましょう」と強調した。

最後に、ネットエージェントが提供する「不正従業員調査サービス」を紹介。本調査では、内部不正の証拠の復元、証拠の発見、事実確認などについて対応できることをアピールし講演を締めくくった。