2020年1月に、大手携帯キャリアの社員がロシアへの機密情報の漏洩で逮捕されるという事件が起きました。逮捕された社員は1年ほど前に、最新鋭の通信設備の構築にかかる作業手順書の情報を、記録媒体にコピーして提供したと言われています。
国家間のスパイ事件にまで発展しなくても、顧客情報や技術情報が持ち出されることは企業にとって存続にさえかかわる大きなリスクです。未然の防止に勝るものはありませんが、万が一にも発生してしまった場合や発生が疑われる場合に、コンピューターや携帯の痕跡を明らかにする手段であるデジタル・フォレンジック調査。同調査が一躍脚光を浴びることになったライブドア事件をはじめ、近年では森友学園の事件やスルガ銀行の不正融資などの証拠集め・解明にも使われたといいますが、様々な社内トラブルに悩む一般の企業が実際に利用できるものなのでしょうか。本稿では特にその費用感を中心にまとめてみました。
目次
1. フォレンジック調査とは
1-1. フォレンジック調査が用いられる主な目的
1-2. フォレンジック調査の対象
1-3. フォレンジック調査で行うこと
2. フォレンジック調査の費用感
2-1. 価格決定要因
2-1-1. 調査範囲
2-1-2. 調査内容
2-1-3. 付帯費用等
2-2. サービス提供企業の価格提示
2-2-1. 専門調査会社の価格提示例
2-2-2. 大手IT企業の提示例
2-3. 自社で実施できる?
2-3-1. ツール
2-3-2. 課題
2-3-3. 支援サービス
3. まとめ
1. フォレンジック調査とは
フォレンジックとはもともと犯罪調査などの分野で使われる言葉で、鑑識や分析、或いは法医学を意味する言葉でした。近年のコンピューターやネットワークの普及によって、それを舞台に繰り広げられる犯罪の証拠保全や収集・分析を(デジタル)フォレンジックと広く呼ぶようになっています。実際にはどのようなことをするのでしょうか。
1-1. フォレンジック調査が用いられる主な目的
フォレンジック調査では記録媒体を中心にコンピューターやシステム上の痕跡を明らかにする事ができるため、これらを舞台にした様々な不正の解明に用いられます。具体的な例を挙げると、
- 金銭の着服、横領
- 不正取引
- 残業、過重労働、過労死などの労働問題
- 貸与PCや携帯(スマートフォン/ガラケー)の目的外利用
- 顧客情報・技術情報、財務情報などの持ち出し、漏洩
- 記録や文書・データの改ざん、削除
- 外部者、社員の社外からの不正アクセス
- マルウェアやランサムウェアの感染、動作
- メールやメッセージングを使ったハラスメント、強要
などの事実確認や痕跡の収集、分析といった目的があります。またいじめやストーカー被害、家出、離婚訴訟、相続などの、どちらかといえば個人の問題に近い目的にも使われることがあります。
1-2. フォレンジック調査の対象
フォレンジック調査では前項で挙げたような目的のために、企業で使用する様々な電子機器を対象に調査を行いますが、基本的には以下のような機器(デバイス)を対象に行います。
- サーバー
- PC端末
- タブレット/スマートフォン、携帯(いわゆるガラケー)
- 外付けHDD
- USB、SDカード
- 通信制御機器
などが対象となります。
近年ではスマートフォンやそれらを通じてのSNSでのやり取り、GPSデータなどの急速な情報量の拡大からこれらを対象とした「モバイルフォレンジック」や、通信回線上での現在のデータトラフィックを対象とした「ネットワークフォレンジック」なども広がってきています。
1-3. フォレンジック調査で行うこと
前項までで挙げた目的のために、調査目的となる不正やトラブルに使用されたでと思われる機器に対して、以下のような項目の調査を行います。
- ログインやファイル操作、印刷等の履歴
- 削除ファイル/データ/文書/メールなどの履歴確認、復元
- (復元したものを含め)メールや文書・データ内の指定キーワードのチェック
- 外部媒体(HDD、UDB、SDカードやスマホなど)の接続履歴
- ネットワーク接続履歴
- マルウェア/ランサムウェアの存在、痕跡
- パスワードの解除や内部のデータの確認
などとなります。
またこれらを行うために、大切な証拠の確保として、実際の内容の調査の前に行う「保全」と呼ばれるハードディスクなどの記憶媒体を中心とした精密な複製や記録、また専門的な知識のない顧客にも分かり易くまとめた事後の報告(書)作成等を伴うのが一般的です。
2. フォレンジック調査の費用感
では、実際にこれらの調査を行おうとするとどのくらいの費用になるのでしょうか。
2-1. 価格決定要因
肝心のフォレンジック調査の価格について、サービスを提供している会社によって、ホームページ上で「5万円~」となっているものもあれば大企業では「500万円~」となっている会社もあり、不正の存在の有無やその内容の確認は重要である事にはあまり異論はないでしょうが、場合によっては費用に見合わない事も出てきそうです。これらの価格差はどのような点から生じるのかを押さえておきましょう。
2-1-1. 調査範囲
まず大きな要因としてどの範囲を行うのかが影響します。ここでいう範囲とは、PCの台数やサーバー、制御機器などの台数のことを言います。不正やトラブルを起こした社員の端末1台だけが対象なのか、共謀や被害にあった社員などを含めるのか、部門全体にまで必要なのか、その際に外付け機器などがどの程度使われた可能性があるのかなどでも、費用に大きな差が生じることになります。
2-1-2. 調査内容・難易度
次に実際の対象機器に対してどこまでの調査を行うのかも費用に大きく影響します。特定ファイルのパスワード解除や復元で済むのか、また意図的な消去や隠滅工作等によって調査が行いにくくなった後での情報確保なのかなど、必要とされる調査、作業の内容、難易度が費用に影響します。
2-1-3. 付帯費用等
さらに、軽視できないのが付帯的な費用です。フォレンジック調査はその性質上、対象となる記録媒体については「保全」を行ってから調査分析に入るのが一般的です。近年ではPCなどの大容量化に伴い、1台のPCでも複数のハードディスクを内蔵していたり、サーバーなどは最初から複数の端末から一体的に構成されていたりするために、調査範囲によっては事前の「保全」費用だけでも相当な額に上る場合があります。
また一般的には調査の結果は目的に応じて整理され一般の管理者等でも理解しやすいように報告書にまとめられるのが通常であり、報告書作成費用等が必要となります。
また状況によって調査会社が設定しているスケジュールを前倒しするような場合には、「特急料金」的な費用を課している会社もあるようですので、何らかの事情で急ぐ場合には割高になる可能性もあります。
2-2. サービス提供企業の価格提示
では、実際に調査会社ではどの様な価格を提示しているのでしょうか。具体的な金額を開示していない会社も多く、また一定の金額を開示していても、上述のような理由で実際の費用やその背景となる工数が案件ごとに大きく異なるために、どの会社もホームページ等に記載されている金額はあくまで参考価格の位置づけであり、実際の費用は「お問い合わせください」としているのが実情ですが、どの様な金額が提示されているのかを中心に見てみましょう。
2-2-1. 専門調査会社の価格提示例
「データ復旧事業11年連続国内売上No.1」をうたう同社は、一部の料金目安として、正常なPCで5万円~、スマートフォンでは3万円~、また初期化されてしまったものではPCで10万円、スマホでは5万円からとしたうえで、調査項目やメディア容量で金額が異なるために電話で確認を、としています。
「犯罪捜査や企業の不正検証に活用できるデータ復旧ソフトなどのリーガルテックツールの提供」で2015年10月に経済産業大臣の表彰を受けている同社では、「よくある質問」(Q&A)の中で、やはり見積もりが基本としながら「PCや外付けHDD等については、データ保全費用を含む基本料金に加えて、原則として調査項目1項目あたり5万円~」との記述があります。
ハードディスクの世界大手WesternDigital(ウエスタンデジタル)社公認のデータリカバリ―パートナー企業であり、データ復旧ツールを警察庁、警視庁他に納入している実績を持つ同社では、ホームページ上にかなり詳細な価格提示をしてくれています。これによれば、
1.保全準備費
・正常なハードディスク 4万円/個(複数の場合は3万円x台数)
・故障、破損したものの検査 4万円/個
・正常な外部記憶媒体 2万円/個
・故障、破損した外部記憶媒体の検査 2万円/個
2.基本技術料
・パソコン 15万円/台、サーバー 30万円/台、外部記憶媒体 5万円/台
3.各種調査費
・オフィスデーター、画像データー、動画データ、メールその他 各5万円
・特定ログ解析、デバイス利用履歴、ウェブ閲覧履歴、メモリ解析、その他 各5万円
4.特殊調査費
・上記メニューにない汎用外のデータ解析や深層調査、痕跡調査など 20万円より
となっています。
繰り返しになりますがいずれの会社も実際の費用は調査内容・調査項目による、としていますが、これらの情報を重ね合わせることに拠って、自社での事案についておおよそのメドをつけてから臨むことができるのではないでしょうか。
2-2-2. 大手IT企業の提示例
大きな事案の場合、費用にかかわらず解明しなければならない事態も増えてくると思われますが、念のため大手IT企業の価格事例も見ておきましょう。
やはり詳細はお問い合わせくださいとしながら「100万円 ~(税別)」となっています。
上述の企業とはややフォーカスが異なり、エンタープライズと呼ばれる大企業における、リアルタイムのいわゆるネットワークフォレンジックに近いサービスの「総合契約」になるようですが、PC1台の対応までも含めて500万円~というサービス(リンクは日本ネットワークセキュリティ協会のホームページに飛びます)もあります。
TOPIX
大規模な不正事件の場合、第3者委員会等による報告書が開示される例も少なくありません。まだ記憶に新しいスルガ銀行の不正融資事件でも、実際に大掛かりなフォレンジック調査が行われたことが、2018年9月7日に第3者委員会によって報告されています。報告書本文の6ページから7ページにかけて、同行の役職員113名の電子メールやPC、共有ファイル、一部社員の携帯端末等について、監査法人KPMGの10,800時間に及ぶ作業によってデジタルフォレンジックが実施されたことが記されています。実際の契約料は記載がありませんが、専門家のこれだけの作業量となれば、億円単位の費用がかかったことが伺える事例となっています。
3. まとめ
業務のデジタル化がますます進む中、事業にまつわる不正やトラブルもPCやサーバー、ネットワークを舞台にするようになり、これまでの書類やノートなどと同じように、デジタル機器を対象とした証拠保全・分析が重要になってきました。
分析ツールなども手に入るようになってきましたが、重要な事案ほど保全を含めた慎重かつ
専門性の高い高度な対応が必要となり、中小企業や、大企業でも事案が少ない会社ではまだまだ外注が合理的です。とはいえ少なからぬ金額になることが多いデジタル・フォレンジック調査、それぞれの案件での凡そのイメージをつかんでからうまく外部を活用してください。