前項で紹介した以外には、フォレンジック機能の一部を使って、実際に次のような作業したケースもある。
補足的に解説しよう。まずSNSやTwitterなどは、今では社則で明示的に「就業時間中の禁止」をうたう企業が多い。従業員も、さすがに会社の端末からではなく自分の携帯電話やスマートフォンを使う。だが、これらも調べればすぐに分かるので、従業員は社則を尊重すべきである。
「業務に無関係なメールの送信」のケースでは某企業から、「成績が悪く、素行も無礼な新入社員のメールの送信履歴をみると、1日何通も業務外メールを送信している。フォレンジックを行って本人を懲戒免職したい」と相談を受けたことがあった。筆者は商売として引き受けるべきかとも考えたが断った。
なぜなら、社則で「業務外メール送信は禁止」としていても、1日に数通の業務外のメール送信では指導程度しかできない。実際問題として、受信したメールの中には私用だが直ぐに返答が必要なケースもある。たった1通でも私用メールの送信には処罰を下すというのではあまりに厳しく、逆に従業員から提訴されてしまう可能性もある。その場合、会社に勝ち目はない。社長や役員のメールの送信履歴をみれば、その理由も明らかだ。社則で「業務外メール送信は禁止」としていても、実際には業務に明らかな影響を与えるほど過度なメール送信を連日繰り返したら――と理解してほしい。
副業についても、さまざまなケースがあった。多いのはネットでの株やFXの取引だ。ネットオークションの取引で月の利益が給与の2倍以上になった人、ネット懸賞に明け暮れて気が付いたら接続時間の6割が懸賞だったという女性もいる。もっと驚くべきツワモノも実際にいた。
フォレンジックを行う上で最も重要なことは、事前に役員や従業員、労働組合などに詳細を連絡し、承認を得ておくことだ。例え優秀な顧問弁護士でもこの部分で頓挫するケースが散見される。だからこそ、新入社員や現従業員などへの誓約書の説明と配布、署名、回収をすべきである。これをしていれば、企業の存亡に関わる事件での重要なフォレンジックもスムーズに実施できる。
誓約書の記載方法についての詳しい解説は割愛するが、業種や業態、規模、カルチャー、今までの社則を含めた文書の内容などを吟味して作成するのがスムーズに実施できるコツである。原則は次の通りだ。
これらは、読者の企業や団体の特性を考慮しつつ、顧問弁護士と相談して法的に問題のない文章表現にしないといけない。
2回にわたってフォレンジックを解説してきたが、あまりに領域が広く、全てを解説すると今月のシリーズだけでは難しいかもしれない。次回以降は、「結局、何ができるのか、何ができないのか」「警察関係者のツールと民間ツールの違い」「HDD以外のフオレンジックの現状」「専門調査員も知らない最新状況」「企業として費用対効果を考慮したフォレンジックの有効活用」(順不同)などをお伝えして行く予定だ。
日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.