パソコンのハードディスクに残るデータを特殊な方法で保全・解析し、利用者による不正行為の痕跡を調査すること。内部監査の一手法として使われる。
「1人1台」の掛け声のもと、パソコンは企業の隅々にまで行き渡りました。業務にパソコンが不可欠になった今、必然的に、不正もパソコン上で行われます。例えばある大手銀行では、金融庁の検査を妨害するために、パソコン上の不都合なデータを組織的に削除していたといいます。
データには形がないため、不正の証拠は残りにくいと思われがちです。しかし、パソコンに内蔵しているハードディスクのデータをよく調べれば、操作の記録が出てきます。むしろ、証拠は残りやすいといえます。
不正摘発などのために、一定の手法でパソコンの操作履歴を調べることを、「デジタル・フォレンジック」といいます。
パソコンから不正把握
例えば、表計算ファイルの金額を修正した場合、日時は「更新日時」としてハードディスクに残ります。1月の販売データが半年後に修正されていれば、いかにも不自然です。
パソコンの利用者が電子メールで転職活動をした、業務と関係のないウェブサイトにアクセスした、顧客情報ファイルを外部記憶媒体に書き出した、といった行為の痕跡も、様々な形でハードディスクに残ります。事前にパソコンにツールなどを導入しておく必要はありません。これらの痕跡は、ウェブブラウザーの「履歴」機能などで簡単に分かることもあれば、特殊なツールを使って事後調査する場合もあります。顧客情報などのファイルを「ごみ箱」に入れて削除し、証拠隠滅を図ったつもりでも、その痕跡は残ります。
ただし、不正調査をする人が表計算ファイルの内容をうっかりいじってしまうなど、痕跡を壊してしまっては元も子もありません。犯人は「調査者がデータをねつ造した」と主張するかもしれません。
本来、フォレンジックは「法廷の」といった意味です。デジタル・フォレンジックでは、法廷で通用する証拠能力を持つよう、特殊な方法でハードディスクの内容をコピーしてから分析します。
内部監査で活用
訴訟社会の米国では、企業関連の訴訟の際に、関係者のパソコンに対してデジタル・フォレンジックを行い、証拠として提出することがよくあります。法的に通用するフォレンジックの標準的な手順も確立されています。
日本ではまだ認知度は高くありませんが、一部企業の内部監査部門などが、不正を防ぐ「内部統制」の最後のとりでとして、デジタル・フォレンジックを活用し始めています。内部通報などを基に不審者を特定したうえで、その人物のパソコンを調査する方法が一般的です。
