事実を証明しインシデントを解決する！フォレンジック調査ガイド » フォレンジック調査でできること » PCの操作ログ調査

PCの操作ログ調査

このページでは、フォレンジック調査の一環として実施されるPC操作ログの調査について解説しています。パソコンの操作履歴を確認することで判明する内容やフォレンジック調査におけるPC操作ログの重要性などを解説しているので、参考にしてください。

PCの操作ログとは

PCの操作ログとは、パソコンを使っているユーザーが実際にどのような操作を行ったのか操作内容を記録した履歴のデータです。フォレンジック調査を実施しなければならないようなセキュリティインシデントが発生した時、パソコンの操作ログを確認・分析することで実際に不正が行われたかどうか、あるいはどのような操作が情報漏えいを発生させたのかといった要因を解明できます。

PCの操作ログ調査で分かること

ここでは一般的にパソコンの操作ログを調査することで判明する内容をまとめていますので、セキュリティインシデントが発生した際の対策をプランニングする際にご活用ください。

不正アクセスの検出

PC操作ログにはパソコンで実行された操作の記録が収められており、不正アクセスが行われていたのかどうかを確認できます。具体的には極端なログイン試行やパスワード入力、不自然なネットワーク接続といった記録が、怪しいアクセスとして挙げられるでしょう。

不正行為・情報漏えいの調査

データベースへ不自然にアクセスしていたり特定のデータをコピーしていたりといった不審な操作もチェック可能です。またコピーしたデータをどのように外部へ送信したのか、データを改ざんしたのかといった点も合わせて確認できます。

セキュリティインシデントの原因調査

何らかのセキュリティインシデントが発生した際に、PC操作ログを確認することでどのような経路や原因によって引き起こされたのか検討しやすくなります。またアクセス履歴やログイン履歴を確認することで、誰が原因となって発生したのかも究明しやすくなるでしょう。

社員の勤務状況の把握

人事管理の一環として、従業員の日常的な業務態度や勤務状況などを確認したい時もPC操作ログのチェックは有効です。

操作ログはパソコンを使って実行された操作の内容やその時刻、誰が操作したのかなどの情報をまとめて把握可能なため、業務に必要のない外部サイトへアクセスしていたといった利用状況も合わせて確認できます。ただしリモートワークで社員が私物PCを利用して業務をしているような場合、本人に無断でログを確認すると問題になる可能性もあるため注意してください。

PCの操作ログを収集する方法

Windowsのイベントビューアーを確認する

使用しているPCのOSがWindowsである場合、「イベントビューアー」を使用することでPC操作ログの収集・確認が可能です。イベントビューアーでチェックできる操作ログとしては以下のようなものがあります。

システムログ：OSの動作を記録したもの
アプリケーションログ：ソフトウェアの動作を記録したもの
セキュリティログ：監査・セキュリティに関する記録

その他にもアップデート履歴を確認するセットアップログ、リモートアクセスの記録を確認するForwarded Eventsといったツールがあり、必要に応じて使い分けることがポイントです。

注意点

Windowsのイベントビューアーで記録・保存されている操作ログは、一定期間を経過するたびに消去されるため、タイミングによっては目的とする期間の操作ログを収集できない可能性があります。

またユーザーの操作によってイベントビューアーのログ情報を削除できるため、相応の知識を有する者が不正操作をした場合、イベントビューアーのログ情報だけでは証拠の収集・保全が困難となるでしょう。

ログ管理システム・解析ツールを使用する

パソコンの操作ログを収集・保存・管理するための専用ツールを利用することで、PC操作ログを適切かつ安全に保全できます。また合わせて解析ツールを導入することにより、不正な操作の自動検知やフォレンジック調査の作業効率化などが期待できるでしょう。

ただしツールによって種類や備わっている機能が異なるため、組織のニーズにマッチする適切なツールを選択する必要があります。

注意点

ログ管理システムや解析ツールは便利ですが導入する場合は、専門家のアドバイスを受けながらPCの内容や作業環境などの条件に合わせて、適切なプランニングをすることが重要となります。

デジタルフォレンジックを専門業者に依頼する

ログ管理システムや解析ツールを導入するには、専門知識を備えた人材の確保とそれにかかる時間・労力が必要です。そのためハードルが高いと感じる方も多いかもしれませんが、こうした方々の強力な味方として、フォレンジック調査を専門に取り扱う業者や専門家が存在します。

フォレンジック調査会社はクライアントからの依頼に基づき、対象となるPCの操作ログを迅速に収集・保全して証拠を確保しつつ内容を分析して調査を行ってくれます。様々な問題が発生するネット社会において、フォレンジック調査の専門業者・専門家はますます欠かせない存在となるでしょう。

怪しい操作ログを発見した際に行なうこと

端末をネットワークから切り離す

不審な操作ログや異常なアクセス履歴などが検出された場合、対象とされるPCをネットワークから切り離します。外部からのアクセスや外部へのアクセスを不可能にすることで、被害の拡大防止が可能です。

フォレンジック調査を依頼して不正の証拠を収集・保全する

不正が認められるPCの操作ログは、損害賠償請求訴訟する際に法的な証拠として提出する可能性があるため、適正な状態で保全することが非常に重要です。フォレンジック調査の専門業者では法的証拠として確実に採用されるように、必要な条件に則って証拠を保全してくれます。自社だけで操作ログを確認することが困難な場合やそもそも操作ログをどのように検証・分析すれば良いのか分からない時は、速やかにフォレンジック調査の専門業者へ調査を任せる方が良いでしょう。

なお操作ログの改ざんや変更などは証拠能力を欠落させる要因となるため、フォレンジック調査を行うまではパソコンを操作できないように隔離しておくことも大切です。

不正をした社員に対して警告を行う

操作ログの解析によって不正を行ったと思われる従業員・ユーザーが検出された場合、対象者へ内容証明郵便を活用して警告ができます。

内容証明郵便は相手に警告を届けた証明として役立つため、警告した事実や警告の内容は必ずデータとして記録しておきましょう。決して口頭のみで警告することがないように注意してください。もし不正行為を働いた人物と連絡が取れなくなってしまった場合は、フォレンジック調査の専門業者や弁護士などへ速やかに相談することをおすすめします。