調査費用を教えてください。

詳細なお見積もりについてはお気軽にお問い合わせください。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか？

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか？

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格（ISO24001）およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

USBの接続履歴を確認する方法は？会社のデータ持ち出しが発生した場合の対処法について解説

近年、USBを利用して会社の情報を持ち出す事件が多く発生しています。この場合、会社はUSBの接続履歴から、情報の持ち出しの有無を確認しておくことが重要です。

ログにはUSB接続履歴のほか、ファイルの編集、ダウンロード、閲覧履歴などさまざまな操作が記録されています。これにより、社内の情報持ち出しやさまざまなトラブルを発見することができます。

情報持ち出しやウイルス感染によって個人情報が流出した場合、組織には報告と通知が義務付けられています。

この記事では、USB接続履歴の確認方法からUSBを使用した情報持ち出しの事例、情報が流出した場合の対処法について解説しています。

　＼法人様　最短30分でお打合せ可能です／

▶相談件数32,000件以上　緊急相談窓口はこちら

ログからUSB接続の履歴を確認できる

USBの接続履歴はパソコン内部にログとして記録されているため、ツールなどを用いて確認することができます。USB接続の履歴の確認は、セキュリティやトラブルシューティングの観点から重要です。

ログとは
ログの保存を有効にしている場合に確認できる

ログとは

「ログ」とは、パソコンの操作履歴やファイルの操作に関する記録のことです。具体的には、閲覧履歴や起動時間の記録、ファイルの削除・ダウンロード履歴などが含まれます。これらの記録は、問題のトラブルシューティングやシステムのモニタリング、セキュリティ監視、アクティビティの追跡などの目的で使用されます。

ログ監視専用ツールを使用することで、これらの情報をより詳細に収集できます。多くの企業では、ログの監視ツールを通じて作業内容の確認や労務管理、セキュリティ対策を行っています。

ログの保存を有効にしている場合に確認できる【Windows】

事前に設定からログの保存を有効にしている場合、USBの接続履歴をログから確認することができます。

ただし、Windowsの初期設定ではログの保存は無効になっており、設定からログの保存を有効にする必要があります。ログの保存が無効の場合、自力でUSB接続の履歴を確認することはできません。この場合は、ログの解析業者に相談して調査してもらう必要があります。

デジタルデータフォレンジックでは、デジタル機器のログを解析して、インシデント調査を行います。ログの保存が無効の場合でも、デジタル機器を詳細まで解析することで、USBメモリの接続履歴を調査できる可能性がありますので、お気軽にご相談ください。

ログの保存を有効にする手順

イベントビューアーを開く
アプリケーションとサービスログから以下の順番に進む
Microsoft→Windows→DriverFrameworks-UserMode→Operational
Operationalまで進んだら、右側にある「ログの有効化」をクリック

上記の手順でログの保存が有効になっているか確認してください。ログの保存を有効にする前のログは記録されていないため、別の対処法を検討しましょう。

既に右側が「ログの無効化」だった場合、事前に有効になっており、保存ができている状態です。

ログを長期保存にする設定方法

イベントビューアーを開く
アプリケーションとサービスログ→Microsoft→Windows→DriverFrameworks-UserModeを順に開く
DriverFrameworks-UserMode内のOperationalを右クリックし「プロパティ」をクリック
最大ログサイズ(KB)と、ログが最大ログサイズに達した時の挙動を選択して「OK」をクリック

イベントビューアーの初期設定では、ログの最大サイズが決まっており、保存量が最大になると古いログから削除されていきます。長期間のログを保存したい場合は、上記の設定も併せて行うようにしましょう。

ログからUSBの接続履歴を確認する方法

以下は、実際にUSBメモリを差し込んだ時に作成されたログです。

日付と時刻	ソース	イベントID
2022/12/26 22:10:18	Microsoft-Windows-DriverFrameworks-UserMode	1004
2022/12/26 22:11:04	Microsoft-Windows-DriverFrameworks-UserMode	1008

上段がUSBを接続したときのログ、下段がUSBを取り外したときのログになります。USBストレージデバイスの接続はイベントID1004、USBデバイスの取り外しはイベントID1008のログになります。

WindowsのPCで操作ログを取得・確認する方法は？履歴から社内不正調査する方法を解説

USB接続履歴の確認方法【Windows10】【Windows11】

USBの接続履歴の確認は場合によってリスクも伴いますが、個人でもできるUSBの接続履歴の確認方法について解説します。

また、個人では調べきれない場合は、接続履歴を抽出するソフトウェアや接続履歴を調査できる専門会社もありますので検討してみましょう。

イベントビューアーからUSB接続の履歴をログから確認する【Windows10・11】

Windows10と11でのUSB接続履歴の確認方法は、基本的には同じイベントビューアーを利用します。しかし、細かな表示内容や操作性に若干の違いがある場合があるので注意してください。

Windows 10 と 11 での具体的な手順

スタートメニューを「イベントビューアー」と検索して開きます
任意のメニューから「Windowsログ」」展開システム」
右側の「操作」から「現在のログのフィルター」を参照
「イベントID」を確認することによりUSB接続履歴のログが確認できます。
右上の検索ボックスにキーワード（”USB” やデバイス名）を入力して、目的のイベントを絞り込むことができます。

レジストリエディタからUSB接続の履歴をログから確認する【Windows10・11】

WindowsのレジストリエディタにもUSBの接続履歴の情報が残っているため、調査することである程度把握することができます。

ただし、レジストリはシステムの中核となる情報が保存されている場所であり、誤った操作はシステムの動作に支障をきたす可能性があるため、十分な知識が必要です。

レジストリで USB 接続履歴を確認する方法

Windows の検索ボックスに「regedit」と入力し、Enter キーを押します。
次のレジストリキーに移動します。
「HKEY_LOCAL_MACHINESYSTEMMountedDevices」
このキーの下には、接続されたデバイスに関する情報が保存されています。
デバイス名やボリュームラベルなどを手がかりに、接続されたUSBデバイスを特定できます。

レジストリでの確認の注意点

情報が限定的である：イベントビューアーのように詳細な情報（接続日時、デバイスの詳細など）は得られません。
誤操作のリスクがある：レジストリを誤って編集すると、システムが起動しなくなるなど問題が発生する可能性があります。
専門知識が必要になる： レジストリの内容を理解するためには、ある程度の専門知識が必要です。

誤って編集してしまう可能性があるため、レジストリの知識に不安がある方はイベントビューアーの確認だけにしておきましょう。

専用ソフトを利用して、USB接続の履歴をログから確認する

多くの企業では、イベントビューアーなどの一般的なツールではなく、専用ソフトウェアを導入してログを監視しています。ログの監視ツールはWEB上からのダウンロードた、セキュリティ会社との連携で導入することが可能です。

しかし、専用ソフトのみでは記録の量も多く、個人での調査に時間がかかるうえに見落としも多く、情報持ち出しやウイルス感染の全容を掴むことができません。また、被害データの特定や正確性が担保された証拠の確保も、専用ソフトからではほとんど不可能です。

社内の情報が持ち出された、ウイルスに感染したなどの場合は、専用ソフトからの確認で済ませずに、フォレンジック調査ができる調査会社に相談し、証拠を確保するようにしましょう。

USB接続の履歴を確認したい場合はフォレンジック調査に依頼する

不正アクセス、社内不正、情報持ち出し、職務怠慢のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。