企業にとって、コンピューターによる情報処理は円滑なビジネスに必要不可欠なものです。ありとあらゆるシーンでIT化が進んで便利になる一方、情報に関わるさまざまな不祥事も発生するようになってきました。
たとえば、顧客情報や社内メールの流出、データ改ざん、コンピューターウイルスへの感染や内部不正など、リスクを挙げればきりがありません。このような不祥事が発覚すれば、これまで築き上げてきた企業ブランドや信頼が一瞬で崩れてしまう恐れもあります。現代企業にとって、セキュリティガバナンスは非常に重要な存在となっているのです。
ただ、いかにセキュリティやコンプライアンスの徹底を心がけていたとしても、残念ながら100%企業不祥事を防げるとは限りません。大切なのは、何かしらの不祥事が起きてしまったとき、原因を正確に探って適切な対策を行うことなのです。これを徹底すれば、適切な事後処理による社会からの信頼回復や、二度と同じ不祥事を起こさないための予防策の構築などが可能になります。そこで重要となってくるのが、民間企業からも注目を集めている「フォレンジック調査」なのです。
「フォレンジック調査」とは何か?
フォレンジック調査とは、簡単にいうと「インシデントの原因を検証する作業」を意味します。もともとは、犯罪の証拠解析のために用いられてきた技術でした。しかし、現代では企業不祥事が起きた場合の裁判などに備え、収集したデジタルデータに法的証拠能力を持たせる「デジタルフォレンジック」としても活用されています。
デジタルフォレンジックは、パソコンをはじめスマートフォンやタブレット端末、デジタル家電などさまざまな電子機器に蓄積されたデータが調査対象となります。それらの「生のデータ」を解析し、インシデントの原因となりうるデータの抽出やサーバーの通信記録の割り出し、削除されたデータの復元などを行うのが主な目的です。
図)デジタルフォレンジックによるデータの深層解析技術
このような調査を行うことにより、たとえば大量の顧客データの流出が起きた場合、流出経路や流出した情報の規模、誰が不正操作をしたのかなどを早急に特定できます。また、原因の追究だけでなく、裁判になった場合に迅速かつ効果的に証拠開示を行うことも可能です。企業にとって、フォレンジック調査は自身を守る重要な手段といえるでしょう。
ただ、フォレンジック調査は誰でも手軽に行えるものではありません。正しく調査を進めるには、さまざまな専門知識が必要となるのです。
たとえば、コンピューターやネットワークに関する知識。調査では膨大なデジタルデータを集め、その中から必要な情報を見つけ出さなければなりません。デバイスやプログラム、ログ解析にクラウドなど、コンピューターに関わるあらゆる知識を正しく理解していなければ難しいでしょう。
また、法的手続きにおける知識も重要です。たとえば、ある従業員が重要な情報を競合他社に売り渡した場合、多くの企業が民事訴訟でその従業員に損害賠償請求をすることになります。このとき、どのデジタルデータが効果的な法的証拠となるのかを見極め、それを適切に保全しなければなりません。スムーズに法的証拠を集めるためにも、法律知識に精通していることが求められます。
フォレンジック調査は厳重な注意が必要
前述のように、フォレンジック調査には相応の専門性が必要です。より確実かつ安全に調査を進めたいなら、フォレンジック調査を専門的に取り扱う企業への依頼や専門のソフトウェアを利用したほうが賢明です。
ただ、「コストもかかるし、社員に調べさせればいいだろう」と考えてしまいがちですよね。社内にIT部門を設置していたり、コンピューターに詳しい社員がいたりすると、彼らに任せたいと考えるのも無理はありません。しかし、普段フォレンジック調査を専門的に行っていない素人が手を出すのは非常に危険なので、注意が必要です。
調査を行う対象となるデバイスは、求める情報が詰まった重要なツールです。このため、フォレンジック調査の専門家は、証拠となるデジタルデータを破損しないように、まず慎重にデータの保存を行います。たとえば、パソコンを調査する場合、起動させる前に専用の装置を使って記憶媒体に保存されているデータを取り出します。先にパソコンを起動させてしまうと、OSが新たな処理を開始して記憶媒体内のデータ内容が変更されてしまう可能性があるためです。
この事実を知らない、または知っていても起動前にデータを抽出する専用の装置を持っていない場合、安易にパソコンを起動して大切な証拠を失ってしまうかもしれません。
また、専門家以外が無理にデータを取り出そうとしたり、デバイスに手を加えてしまったりすると、データが法的証拠として認められなくなる恐れもあります。これでは、せっかく証拠を見つけ出しても民事訴訟で負けかねません。
こういったリスクを避けるためにも、フォレンジック調査を行うときは専門の企業に任せる、あるいは専門のソフトウェアを利用したほうがよいのです。
デジタルデータの重要性が増している現代では多くの民間企業がフォレンジック調査に注目しており、調査を請け負う企業も増えつつあります。ただ、選択肢が増える一方、確かな技術がないまま調査を請け負ったり、雑な証拠保全を行ったりしてトラブルを起こす調査会社も珍しくありません。
調査を依頼するときは、フォレンジック調査に豊富な実績があるか、法的証拠にするための証拠保全を万全に行っているかなどをしっかりチェックすることが大切です。
また、正式な依頼前にスタッフにいろいろと質問し、高い専門性を備えているかという点も確認しておきましょう。
まとめ
「うちはセキュリティがしっかりしているから大丈夫」と自信を持っている経営者も多いでしょうが、企業不祥事はどこから起きるかわかりません。いざトラブルが起きたとき、検証や原因の特定ができないままでは再発防止もできず、同じような不祥事を繰り返してしまうかもしれません。
こうなれば、顧客ばかりか社会からの信用も失墜し、企業として取り返しのつかない事態に陥ってしまうおそれもあります。
コンプライアンスやセキュリティの徹底と同様に、万が一の事態に備えたフォレンジック調査のための環境整備も非常に重要なのです。自社に社員として専門家を招く、いざというときすぐに依頼できる調査会社を見つけておくなど、できることから始めておきましょう。