リーガレックス合同会社

コラム

コラム一覧9.データ保全にあたって重要な4つのポイント

9.データ保全にあたって重要な4つのポイント

2020.04.10

前回、データ保全の重要性についてお話ししましたが、今回は実際にデータ保全をするにあたって重要な4つのポイントを解説したいと思います。

1.データ保全対象者の選定について

データ保全を実施するには、まず対象者の選定が重要です。実際の有事対応(不祥事・不正調査の必要性が発生した後)であれば、その事案に即した中心人物、その上司、部下、同僚について対象とすべきかどうかを選定します。また、その中心人物が調査対象期間中に異動している場合、各所属部署でのパソコンの利用状況を調査する必要もあります。現時点で使用しているパソコンを過去から継続して使用していれば良いのですが、過去に端末の交換を行なっている場合には、交換前の端末が存在しているかどうかも調べる必要があります。メールのアーカイブが別のシステムで網羅的に取得されている場合には、端末の保全にこだわる必要がないケースもありますが、基本的には調査対象者の調査対象期間における所属部署と端末の紐付けは必要となります。

2.暗号化について

昨今のITセキュリティ上では、会社から持ち出せるノートパソコンは、万が一紛失した場合に悪意の第三者にデータを盗み見られないようにするため、フルディスク暗号化をかけていることが多いです。暗号化が施されていない場合には、OSを起動させずに、DF専用のソフトを使用してデータ保全を実施することができますが、暗号化が施されている場合には、暗号化の形式によってはWindowsを起動した上で保全するという方法を取らざるを得なくなります。この場合、一切のデータ改変をせずに完全なコピーを取得することはできなくなってしまいますが、保全時のHash値を取得することにより、それ以降の改変がない状態を保全することができるため、調査段階以降でのデータ改変を防ぐという次善の策を取ることはできます。

3.管理者権限について

上記、2のように、止むを得ずOSを起動した状態でデータ保全をするケースで、次に重要となるのが管理者権限の管理です。不祥事・不正調査時にデータ保全を実施する場合、内部統制部門や法務部からの了解は得られていても、IT部門との連携が取られていないために、端末の管理者権限の情報提供でトラブルとなるケースもあります。そのため、データ保全の全体ワークフローの想定として、管理者権限が必要となることにつきあらかじめ了解をとっておき、データ保全時にはIT部門の担当者からの協力が得られるように、事前の手配をしておくことが重要です。

4.SSDについて

ここ数年で急速に普及してきたSSD内蔵のノートパソコンの場合、人事異動等で初期化してしまった後にデータの復元をすることはかなり困難となりますので、対象端末のストレージが何を使用しているかの確認も重要です。また、あらかじめストレージの種類を確認し、対象者の使用していた端末の使用期間の情報を整理することで、調査の設計時に出来ることと出来ないことを整理することができるので、大変重要となります。

参考:

・佐々木良一編著他『デジタル・フォレンジックの基礎と実践』東京電機大学出版局、2017年

・安冨潔・上原哲太郎編著 特定非営利活動法人デジタル・フォレンジック研究会著『基礎から学ぶデジタル・フォレンジック』日科技連、2019年

・特定非営利活動法人デジタル・フォレンジック研究会 「証拠保全ガイドライン」改訂ワーキンググループ編『証拠保全ガイドライン第8版』、2019年