前回に引き続き内部不正のセキュリティ事故対応を解説する。機密情報の持ち出しの証拠をつかむコツは被疑者の立場で調べることだ。フォレンジック(コンピュータ鑑識)だけでなく、被疑者へのヒアリングも組み合わせて犯行の全容を明らかにしよう。

 機密情報は本当に持ち出されたのか――。前回に引き続き、内部不正のセキュリティ事故(インシデント)対応を解説します。前回はPC内部のデータを証拠として保全するまでを説明しました。今回はその後の調査を解説します。

 調査の全体像は3ステップに分かれます。まず調査項目を策定し、事前準備をしてから本格的な調査を進めます(図1)。今回はツールの使い方や調査対象ファイルの詳細には触れず、どのような観点が必要かを中心に解説します。

図1 内部不正調査の流れの例
持ち出し経路を予想して掘り下げる
図1 内部不正調査の流れの例
[画像のクリックで拡大表示]

被疑者の立場で考える

 調査項目の策定から説明します。まずは調査の目的を内部不正の対策チームで明確にします。目的を設定することで、調査項目が適切かを判断しやすくなります。

 今回は情報漏洩案件を想定し、「調査対象とするPCから外部への機密情報の持ち出しがあったかを確認すること」を目的とします。目的に沿って、調査項目は「PC外への情報持ち出しの経路を調べ、持ち出しの痕跡を探す」ための項目に絞ります。

 場合によっては、調査目的に「業務時間内の不就労行為などの余罪があればそれも明らかにすること」などが含まれる場合もあるでしょう。その際は調査項目も広がります。

 調査項目を決める際に大切なのは、サイバー攻撃の調査と同様に、不正を働く者の立場になって考えることです。自分がもし情報を持ち出すならどうするでしょうか。紙に印刷するのか、電子データであればUSBメモリーにコピーするのかインターネット上のストレージサービスに転送するのか。

 自組織のシステム状況が分かるからこそ、どの媒体でどの経路を使うかを想像できるのです。仮説に基づき、PCやサーバーなどにどういったログが残るかを導き出し、調査項目を策定します。情報漏洩の場合、ほかにもFTPソフトで転送したりメールに添付して自分のプライベートアドレスに送信したりする経路もあるでしょう。

 インシデントごとにシステム環境や被疑者のシステム的な権限が異なるため、持ち出しの経路も変わってきます。発生の都度、調査対象の状況を踏まえて想像を膨らませ、調査項目を策定することが欠かせません。