第228号コラム:山内 崇 幹事(株式会社ピーシーキッド データ復活サービス部
 フォレンジックサービス部 取締役)
題:「情報システム部とフォレンジック調査の連携」

 弊社で行っているコンピュータ・フォレンジック調査を行う場合、まず初めの打ち合わせでお話しをいただくのは、ほぼ全てのケースでその会社の代表者若しくは役員になります。ここでの話は事件の発端から現状の様子をお伺いしております。

 弊社への調査依頼は従業員の不正調査が多いため事件の内容にもよりますが、容疑者となる従業員に対して大変感情的になっている場合が多く、詳しく調査する迄もなく既に犯人として決定されている状態です。弊社に依頼を頂く内容としてはその決定されている疑惑の証拠を出すことになります。多くの場合それは間違ってはいないのでしょうが、実際に調査を進めて行くと指摘通りの証拠が素直には出てこないという事が多々あります。役員から事件の全容を説明された後は情報システム部の方、もしくは社内のPCを管理している従業員の方と話をし、調査の実務を進めて行く形になります。今までの弊社の経験上、フォレンジック調査を行う会社に依頼を出すということは、情報システム部やそれらの役割に該当する従業員の方が初めに調査をしても思い通りの結果が出なかった場合が多いということです。当然PCやシステムに詳しい方たちが多い中で調査を行っているので、そこで有力な証拠が得られなかった、言わば解けなかった“難問”の依頼になるわけです。そのような難問に対しては教科書通りの調査では簡単には答えは得られません。また、そもそも保全という概念がまだ一般的に乏しく調査によりタイムスタンプ等の有益な情報が全て調査時に書き換えられていることがほとんどです。そんな中で調査をする場合、調査対象をPCのHDDだけに限って行うと希望通りの証拠が出てくることは当然難しく、情報システム部の方とよく話しながら調査の途中で必要となったサーバーのログや調査対象となる方の出勤記録など様々な情報をいただいて事件の全体像を見渡しながら調査を行う形になります。

 通常調査には案件にもよりますが、例えば報告まで1週間かかることが予測される場合お客様にその旨をお伝えします。しかし、よくあるのは情報システム部の方から調査開始の翌日や翌々日に「何か分かりましたか?」「証拠は出てきましたか?」と問い合わせをいただきます。調査には手順があり、場合によってはフィルタリング、カービング、キーワード検索やインデックス化など調査の前段階で時間のかかる処理が多く、その処理が済む前からの問い合わせには当社も困惑しております。情報システム部の方は現状の進行具合を説明すると大体理解して頂けますが、現状の質問をしてきているのは代表や役員の方であることが多く情報システム部の方も上に対してどのように説明をするか大変悩まれている様子です。

 最終的にレポートとして報告する内容については極力客観的に事実のみを報告するように努めていますが、上からの要望により情報システム部の方から具体的に「誰々が~をやっていました」と書いて欲しいと言われることが多くあります。当然事実としてそれが認められる場合は報告として挙げますが、残念ながらそこまでの結果が得られない場合は報告書には記載出来ません。しかし、情報システム部の方は上司からの命令により何とかそれに沿った報告を書いてくれと要求されます。

 今までの調査での経験をふまえた意見としてではありますが、報告までスムーズに行った案件では情報システム部の方と弊社の距離感が大きく作用すると思います。通常勤務時間内はもちろんのこと、勤務時間外の夜や休日でも必要なときに携帯やメールなどで直ぐに連絡を取れる、若しくは取ってくる担当者の存在が重要になります。フォレンジック調査は技術を基にしたビジネスではありますが、サービスというビジネスである以上、人と人との関係は大切であり、依頼元である代表者や役員の方とパイプになって頂く情報システム部との連携は非常にキーポイントであり、また大変なご協力をいただき大変感謝をしています。

【著作権は山内氏に属します】