PCやスマートフォンの使用が急速に拡大している中で、その重要性を増しているフォレンジック調査。このページでは、そのフォレンジック調査について、どのような手順で行われ得ているのかを解説します。
まずは、事前にヒアリングします。
何が起きたのか、なぜ起きたのか、いつ起きたのか、などなど、現時点で把握できる情報を当事者からヒアリングします。
そして、ヒアリングで得た情報をもとに、何を優先して解析・分析するのかの判断を行います。このステップを適切に行うことで、無駄なコストを省き迅速に調査を進めることができます。
続いて、証拠保全を行います。
調査中に隠蔽のためにデータを書き換えたり削除したりしてしまうことがあります。そうした証拠隠滅行為を無力化するために、調査を行う前にデータを保全します。直接対象物を解析するのではなく、ここで保全したデータを使って、解析・分析を行なっていきます。
続いて、削除されたデータの復元を行います。
データを保全する前に、あらかじめ証拠隠滅のためにデータが削除されていることがあります。メールの送受信記録やインターネットの閲覧履歴など、様々なデータを復元していきます。
復元されるデータが全て証拠隠滅のために削除されているわけではないにしろ、都合の悪いデータは削除をすることが多いので、復元をすることで調査に重大な情報が出てくることが多いのです。
そして、いよいよ最初に決めた優先順位に則って、データの解析・分析をしていきます。現存する情報と復元した情報を照らし合わせて、何が起こったのか、どうやって行われたのか、さらに他の関連人物、事物がないかなどを徹底的に調査していきます。
情報量が膨大であり、その中から証拠を見つけ出すのはかなり難しいことではあるが、おおよそ1〜2週間をかけて行われることが一般的です。
最後に、解析・分析を経て得られた結果をもとに調査報告書の作成を行います。
事件の詳細がどのようなものであったのかが報告され、その上で今までのフォレンジック調査の経験から、どのような再発防止策を取れば良いのかの提言も行います。
このように、フォレンジック調査は、ただ解析するだけではなく、様々なステップを経て、行われています。
これらを全て自分の会社で賄うことは厳しいものがあるので、専門の会社に調査を依頼することが好ましいと言えます。
フォレンジック調査の目的別に、「専門性」「対応力」があって信頼できるパートナーを厳選紹介。依頼先をリサーチしている担当者の方は、ぜひ参考にしてください。
元従業員が会社のパソコンを売買するなどして約7千万円を不当に得ていた事例。疑わしい2名に対し、ヒアリングを実施しつつ会社・自宅の両パソコン、携帯電話、クラウド上データを調査。データ数が膨大であったものの、フォレンジックによる手法で信頼性を損なわずコストも抑えた調査を実現。
※参照元:アスエイト・アドバイザリー公式HP(https://asueito.com/advantage/#casestudy-section2)
テレワークという新たな課題に対して、ビジネスの安心・安全確保に取り組む必要があり導入。テレワークによって生じるリスクのマネジメントと、診断によってニューノーマルな働き方に貢献。
※参照元:セキュアワークス公式HP(https://www.secureworks.jp/resources/cs-bank-of-yokohama)
数百台の端末を対象に、解析ツールでの分析を行って攻撃ルートを可視化し、マルウェア感染の被害端末を特定。漏洩情報が売買されていないかも調査。その結果、情報漏洩が起きていた端末が判明し、ダークウェブにも情報が流れていたことが明らに。
※参照元:FRONTEO公式HP(https://legal.fronteo.com/casestudy/case2/)