内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その2 全4回)
組織は、今や、デジタル・フォレンジックの活用を日常の業務フローに組み入れることが有用であることを知っている。組織はその活用により、事件が起きた後に訴訟に巻き込まれることを待つのでなく、IPの窃取を前もって防止しようとしている。従業員が永久に会社を去る前に、社内のフォレンジック・スタッフや外部のフォレンジック・サービス会社が、退職時面談中やそれ以前の段階において、データを迅速に分析することによって、労務管理、安全管理、ないし、個人情報保護の要請に応えてくれる。
さらに議論を進める前に、あなたが従業員を検査するためのデジタル・フォレンジックを開始するにあたっては、まず、会社の法律顧問とよく相談することを勧める(参照:後述の「従業員のデジタル行為の検査に先立つ5つの留意事項」)。言うまでもなく、従業員に対して行ういかなる検査も、法的紛争、ひいては訴訟という結果になる可能性を伴う。あなたは法廷で証言しなければならないかもしれない。従って、あなたがやろうとしていることを関係する他のステークホルダーと共有するとともに、すべてを書面に記録しておく必要がある。
デジタル・フォレンジックの活用方法 (How to use digital forensic practices)
日々の定型業務に組み入れるべき方策は以下のとおりである。
データ保存 (Data preservation)
証拠が永久に消滅してしまうことがないように、会社は、IPにアクセスできる従業員のシステムや端末を定期的にコピーすることができる。こうすることにより、後に必要となるかもしれないあらゆる証拠を保全することができる。
リアルタイム検査 (Real-time review)
退職時面談では、従業員が辞める理由を知ることができ、会社を改善する方策を探ることができる。しかし、退職時面談は、辞めて行く従業員が会社のIPを持ち去ったのかどうかの判定にも役立てることができる。人事課員は、質問することにより、従業員が会社のデータをどこに保存しているのか、既に家に持ち帰っているのか、持ち帰っているとすればどの機器を使って、いつ持ち帰ったのか、を知ることができる。面談が行われている間に、デジタル・フォレンジックの実行者は、当該従業員の会社所有機器や、もし令状があれば個人所有の機器も、慎重に検査しIPの窃取を示す手掛かりを探すことができる(会社が属する裁判管轄内でどこまで許されるのかについては法律顧問に相談すること)。
詳細分析 (In-depth analysis )
従業員が会社のデータを持ち出したことを発見した場合には、デジタル・フォレンジックを使って、いつそれを取得し、どのように盗取し、誰と共有しているのか、など重要な要素を特定することができる。そして、デジタル検査人は、証拠のそれぞれの領域を跨いで相互参照することができ、事実の時系列を組み立てることができる。
最近、我々はある会社で不正行為を疑われている上級職員の検査を行った。会社は彼を解雇し、彼は2日後に彼のラップトップPCを返却した。我々は、会社の疑いを立証する証拠を探した。驚いたことに、彼は、返却する前に、ラップトップをフォレンジック捜査ができないよう消去してしまっていた。会社が定期的にラップトップのデータを保存し、解雇手続の過程でリアルタイム検査を行っていれば、何らかの証拠が保全され、捜査に役立てることができたはずである。
何ができるか (What can you do? )
不正検査士であるあなたは、検査の過程で主要な役割を果たすべきである。あなたの意見表明や専門的知識・技術は極めて重要である。そこで特異な行動様式を発見したり、別の検査方法を提案できたりするかもしれず、それらは、組織におけるより広範な不正行為の調査につながるかもしれないからである。
まず始めは、会社からIPを盗取または複製する可能性のある従業員の示す態度に表れる手掛かりを探すのがよいであろう。最近、私の顧客の一人から、IPを第三者に漏えいした疑いのある従業員が以前から奇妙な態度を示していたにもかかわらず、会社は何もアクションを起こさなかったという話を聞いた。FBI(参照:http://tinyurl.com/zty5drm ) は、従業員たちから見て取るべき共通した態度をいくつか提示している。
・財産的価値を有する情報を許可なくサムドライブ (USBフラッシュメモリー)や電子メールで家に持ち帰る。
(その3に続く)
