クラウドサービスを悪用した内部不正事例から見える、デジタルフォレンジック上の課題とその対応　第1回

はじめに

リモートワークが一般化したコロナ禍以降、（退職者を含む）経営者・役職員などの組織の内部関係者（以下「内部者」といいます）による営業秘密の持ち出しなどの情報セキュリティに係る不正行為¹（以下「内部不正」といいます）への対策や対応支援の相談が増えています。

内部不正による脅威は、独立行政法人情報処理推進機構（以下「IPA」といいます）が毎年公表する「情報セキュリティ10大脅威²」にて、2016年以降10年連続でランクインしており、多くの組織において影響度の高い脅威として認識されています。

内部不正が発生した際にはステークホルダーとの関係やビジネスへの影響度合い、個人情報保護法に代表される法規制等に準じて、原因や影響範囲の事実確認に加え、再発防止策の実施などの対応が必要となります。これらの対応を適切に進めるための有効なプロセスの1つとしてデジタルフォレンジックが挙げられます。

近年、内部不正時のデジタルフォレンジック³の傾向として、特にSaaS（Software as a Service）型クラウドサービス（以下「SaaS」といいます）の各種ログやメッセージなどのデータを調査対象とする事案が増加しています。

このような傾向を踏まえ、本稿では内部不正時のデジタルフォレンジックのうち、SaaSが関係した複数の事例を類型化し、代表的な類型について、デジタルフォレンジック実施時に確認された課題を中心に解説します。

なお、取り上げた課題に対する具体的な対応については第2回の記事にて解説予定です。

SaaSの悪用に着目した理由

1つ目の理由として、SaaSの普及と内部不正時に悪用されやすいその特性が挙げられます。

企業におけるクラウドサービスの利用は増加の一途をたどり、既に80%弱の組織が利用しています。特に、ストレージやメールなどの機能を提供するSaaSは日本国内のパブリッククラウドサービス市場において40%を占めています。

企業におけるクラウドサービスの利用状況

図表Ⅱ-1-8-5　日本のパブリッククラウドサービス市場規模（売上高）の推移及び予測

また、SaaSは組織内のみならず、従業員等のプライベートでのコミュニケーションやデータ共有の用途など広く利用されています。そのような利便性の高さの裏に、SaaSの機能の私的な不正利用が確認されています。

SaaSに着目した2つ目の理由として、PCやスマートフォンなどの物理的な端末（以下「端末」といいます）を対象とする従来型のデジタルフォレンジックとは異なるアプローチが必要となる点が挙げられます。

端末を対象とするデジタルフォレンジックでは、端末内のOSやアプリケーションなどが記録したログや履歴情報などに加えて、削除されたデータを含めた調査が可能です。その一方で、クラウドサービスを対象とするデジタルフォレンジックでは、クラウドサービスの責任共有モデル⁴に応じた限定的な範囲のデータしか解析できません。特に責任範囲の狭いSaaSでは、調査可能な範囲が、一般的にSaaSの管理プレーンで取得可能な各種ログや設定情報、SaaSのアプリケーションで生成されたデータに限定されます。さらにクラウドサービス全般の留意事項として、ログの保存期間やデータ保管ポリシーが初期設定から変更されていない場合、既定の保存期間が短い傾向にあり、保存期間後のログやデータはサービス上から自動的に削除され、それらデータは基本的に復元することはできません。

このようなクラウドサービスの特性を考慮した事前対策が講じられていない場合、クラウドサービスを対象にデジタルフォレンジックを実施したとしても期待された効果が得られない可能性が高まります。

SaaSを含むデジタルフォレンジック対応事例と対応時に確認された主な課題

次に、内部不正に対するデジタルフォレンジックの調査対象にSaaSが含まれる事案に関して、2つの類型について架空の事案を用いて解説します。具体的には「管理者権限の悪用による不正行為」および「シャドウITなどのセキュリティ対策を迂回した不正行為」を取り上げ、それぞれ下記の3つの観点で解説します。

• 事案の背景
• 実施されたデジタルフォレンジックの手続きとその結果
• デジタルフォレンジック時に確認された主な課題

① 管理者権限の悪用による不正行為

② シャドウITなどのセキュリティ対策を迂回した不正行為

おわりに

2つの架空事案に共通する課題として、調査対象となるSaaS上のログやデータの消失が挙げられます。クラウドサービスの特性上、クラウド上から消失したログやデータを復元することは事実上困難といえます。したがって、ログのバックアップやデータ保存ポリシーを適切に設定するといった事前対策が講じられていない場合は、事実確認を目的としたデジタルフォレンジックを実施したとしても期待した証跡が得られず、不正行為者に対して責任を問えない恐れがあります。

それに加えて、下記のような対策が不十分だったことも課題として挙げられます。

• 内部不正を検知するためのモニタリングの実施（事例ではいずれも第三者による通報から発覚）
• 不正行為に対する未然防止の取り組み（セキュリティ教育やポリシー提示、職務の分離など）
• 適切な情報管理（個人情報などの定期的な所在確認やアクセス権の棚卸など）

内部不正に係る効果的な調査や事前対策には上記のような課題を考慮するだけでなく、絶え間なく変化するクラウドサービスの機能や関連する技術等へのキャッチアップも必要不可欠です。

内部不正に係る対応・対策に課題や不安がある場合は経験豊富な専門家へ相談することが解決への近道となります。

次回予告

第2回は主に本稿で解説したSaaSを調査対象としたデジタルフォレンジックの課題に対して、より具体的な平時対策や効果的な有事対応にフォーカスして解説予定です。

脚注

1. 内部者および内部不正の定義はIPA「組織における 内部不正防止ガイドライン」15ページを基に著者が抄出
   www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf（2025年2月17日アクセス）
2. IPA情報セキュリティ10大脅威 2025
   www.ipa.go.jp/security/10threats/10threats2025.html（2025年2月17日アクセス）
3. モバイルデバイスからのデータ取得手法とクラウドサービスからデータを取得する際の考慮事項
   https://www.ey.com/ja_jp/insights/forensic-integrity-services/key-considerations-for-extracting-data-from-mobile-devices-and-cloud-services-in-dfir（2025年2月17日アクセス）
4. クラウド環境におけるインシデントレスポンス　第1回
   https://www.ey.com/ja_jp/insights/forensic-integrity-services/incident-response-in-cloud-environments（2025年2月17日アクセス）

【共同執筆者】

柳 裕二、茂木 和馬、清水 裕子
EY Japan Forensic & Integrity Services