お問い合わせ
WindowsPCの操作ログには、PCの使用履歴や操作内容が記録されています。もし社内でデータの改ざん、不正アクセス、情報漏えいなどの不正行為が発覚し、具体的に何が行われたのかを明らかにする場合、社内不正やサイバー攻撃などのインシデントの詳細を調査するうえで操作ログは重要な役割を果たします。
ただ、組織のシステムが複雑化していることや、さまざまな操作やイベントが日々絶えず発生していることから、ログデータは膨大になりやすく、ログの見方にもある程度コツが必要です。仮に不用意な操作を行うと、適切にログを取得収集することが困難になる場合があります。
そこで、この記事では、PC操作ログの取得方法について解説します。また万が一、法的問題が発生した場合の対応フローについても詳しく紹介します。PC操作ログを活用して社内不正の解決につなげましょう。
目次
PCの操作ログとは
操作ログとは、ユーザーがPCでどのような操作を行ったかについての記録です。操作が行われた日時や時間帯が記録され、情報持ち出しや不正アクセスなどのインシデントが発生した時期をしぼり、どのような操作が行われていたのか正確に把握することができます。
WindowsPCで調査できるログの種類
インシデント発生時の証拠収集で調査できる主なPCログの種類には以下のものがあります。
| 種類 | 解説 |
| 操作ログ | コンピュータ上で行われたユーザーの操作やシステムの動作を記録したデータ。アプリケーションの起動や終了、ファイルの作成や変更、システムエラー、ログインやログアウトの情報などが含まれます。 |
| 通信ログ | コンピュータやネットワーク機器が行う通信の詳細を記録したデータ。送受信されたデータの日時、通信相手のIPアドレスやポート番号、プロトコルの種類、データ量などが含まれます |
| 認証ログ | ユーザーやシステムがアクセスを試みた際の認証に関する情報を記録したログ。ユーザー名やIPアドレス、認証の成功または失敗の結果、認証が行われた日時などが含まれます。 |
| イベントログ | システムやアプリケーションで発生したさまざまなイベントを記録したログ。システムの起動やシャットダウン、アプリケーションのエラー、セキュリティに関する警告、サービスの開始や停止などの情報が含まれます。 |
| 設定変更ログ | システムやアプリケーションの設定が変更された際に、その内容を記録するログ。どの設定がいつ変更されたか、変更を行ったユーザー、変更前後の設定値などが含まれます。 |
| エラーログ | システムやアプリケーションがエラーを検出した際に、その詳細を記録するログ。エラーが発生した日時、エラーメッセージ、エラーの原因や発生場所、影響範囲などが含まれます。 |
これらのログをすべて調査するのは、多くの時間コストが必要になります。インシデントの解明のための調査では、早急に調査しなければ被害が拡大し、二次・三次被害が発生する可能性があります。
デジタルデータフォレンジックでは、24時間365日体制でご相談を受け付けておりますので、社内不正や不正アクセスなどのインシデントが発生したら、まずはお気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計32,377件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。
※1 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
WindowsPCの操作ログを管理するメリット
操作ログ(システムログ、アプリログ、セキュリティログ)には、ユーザーが行ったすべての操作が記録されています。
そのため、不正アクセスや情報漏えいなどの問題が発生し、訴訟や内部監査をおこなう場合、操作ログを管理しておくことで、ログを調査して問題の原因を特定し、法的対応を講じることができます。
まとめると、PCの操作ログを管理しておくことで、そのログを利用して以下のことが可能になります。
- 不正アクセスの検出
- 情報漏えいの調査・不正行為の特定
- セキュリティインシデントの原因究明
- 社内の勤怠・業務状況の管理効率化
- WindowsPCのシステムパフォーマンスのチェック
不正アクセスの検出
ログには、不正なIPアドレスからの接続試行やセキュリティ違反の痕跡が残る可能性があるため、PC操作ログは、社内外からの不正なアクセスの痕跡を特定するのに役立ちます。
情報漏えいの調査・不正行為の特定
PCの操作ログを分析することで、不正行為の手がかりを見つけることができます。例えば情報持ち出し、特定ファイルの削除や変更履歴、社内で認められていないアプリの起動、権限を超えたアクセスなど、いわゆる不正なアクティビティを検出することができます。
\サイバーセキュリティの専門家に無料相談できる/
セキュリティインシデントの原因究明
PC操作ログを分析することで、セキュリティインシデントの原因、特に脆弱性を特定するのに役立ちます。これによってセキュリティリスクを評価し、ポリシーの改善やセキュリティ設定の見直しを行うことが可能です。
社内の勤怠・業務管理効率化
社員の使用しているPCの操作ログを管理することで、勤怠や業務の管理を効率化できます。操作ログの管理システムでは、従業員の出勤状況や業務の進捗を把握することが可能です。社内で業務している社員だけでなく、テレワークや出張業務を実施した場合も、操作ログから勤務時間や作業の進捗を確認することが可能です。
操作ログを記録しておくことで、職務怠慢などのインシデントが発生した時にデータを確認するだけで原因や実態を確認できるメリットがあります。
WindowsPCのシステムパフォーマンスのチェック
操作ログにはPCのシステムパフォーマンスが、利用者の使用目的に「適したデータ処理速度」や「一度に処理可能なデータ量」であるかをチェックすることができます。
個人のPCのパフォーマンスチェックだけでなく、社内のシステム環境のチェックも可能です。機器にかかっている負荷やPCの処理速度を観察し、不備が発生している箇所を割り出す「トラブルシューティング」のような目的で使用できます。
自力でWindowsPCの操作ログを確認する方法
操作ログファイルには、ユーザーが行った操作が記録されています。操作ログファイルは、ユーザーの行動を監視するために使用できます。ここでは具体的な確認方法を記載していきます。
Windowsのイベントビューアーからログを取得する
Windowsパソコンでは、操作ログを取得するために「イベントビューアー」を使用できます。Windowsイベントビューアーでログを取得する手順は以下の通りです。
- 「スタート」メニューを開き、「コントロールパネル」をクリックします。
- 「コントロールパネル」で「システムとセキュリティ」をクリックします。
- 「システムとセキュリティ」で「管理ツール」をクリックします。
- 「管理ツール」で「イベントビューア」をクリックします。
- イベントビューアが開いたら、左側のウィンドウで「アプリケーションとサービス ログ」をクリックします。
- 「アプリケーションとサービス ログ」で、「Microsoft」をクリックします。
- 「Microsoft」で、「Windows」をクリックします。
- 「Windows」で、「操作」をクリックします。
- 「操作」をクリックすると、操作ログファイルが表示されます。
あるいは[スタート] メニューで「eventvwr.msc」と入力し、エンターキーを押すだけでもイベントビューアを起動することができます。
各ログファイルのファイル名は、システムログがsyslog、アプリケーションログがapplog、セキュリティログがseclogなどと一般的になっています。
この際、それぞれのログの種類に応じたイベントビューアーの項目をクリックすることで、ログを確認できます。
ここからは各ログファイルの一般的な開き方を説明します。
システムログ (syslog)
Windowsの場合、前述した方法でイベントビューアを開き、左側のリストにある[Windows ログ] → [システム] を選択します。
Linuxの場合、syslogファイルは通常、/var/log/syslog や /var/log/messages などのパスに保存されています。ターミナルを開き、テキストエディタ(例: vi、nano)を使用してファイルを開くことができます。
アプリケーションログ (applog)
Windowsの場合、イベントビューアを開き、左側のリストにある[Windows ログ] → [アプリケーション]を選択します。アプリケーション固有のログは、通常、イベントビューア内の該当するアプリケーションの名前の下に表示されます。
Linuxの場合、アプリケーションログは通常、/var/log/ ディレクトリ内に各アプリケーションごとに保存されています。ログファイルの名前はアプリケーションによって異なりますので、目的のアプリケーションのログを参照してください。
セキュリティログ (seclog)
Windowsの場合、イベントビューアを開き、左側のリストにある[Windows ログ] → [セキュリティ]を選択します。セキュリティログには、セキュリティイベントやログイン/ログアウト情報が表示されます。
Linuxの場合、セキュリティログは通常、/var/log/auth.log や /var/log/secure などのパスに保存されています。ターミナルを開き、テキストエディタを使用してこれらのログファイルを開くことができます。
WindowsPCの操作ログの内容の見方
イベントビューアでは、実行されたイベントやアクションの種類が表示されます。これにはログイン/アウト、ファイルの作成・削除、アプリケーションの起動・終了などが含まれます。
特定のイベントの詳細を確認するには、該当するイベントを選択し、右クリックして「プロパティ」を選択します。ここには、イベントの説明、実行者、対象オブジェクト、結果などの詳細情報が表示されます。
イベントビューアで特定の条件に一致するイベントのみを表示する方法は次のとおりです。
- 右側のメニューにイベントの一覧が表示されたら、メニューバーの上部にある「表示」オプションをクリックします。
- 「表示」メニューから「並べ替え」を選択します。
- ここで、特定の条件を指定してイベントをグルーピングします。
- 条件を指定したら、「OK」ボタンをクリックして適用します。
- これで指定した条件に一致するイベントのみを表示するようになります。
- 左側のナビゲーションのリストで、表示したいイベントログのカテゴリ(例:「Windowsログ」「セキュリティ」など)を選択します。
このようにフィルタリングすることで、特定の要件に合わせたイベントを絞り込むことができます。また必要に応じて、イベントをエクスポートして保存することも可能です。これにより、後で参照したり、あるいは他のユーザーや専門家と共有したりすることができます。
ただし、自力で不正の痕跡を具体的に調査・保全するのは難しく、法的対応も考慮している場合、証拠の客観性の確保などの観点から、専門家に対応を依頼することをおすすめします。
デジタルデータフォレンジック(DDF)はログデータの解析にまつわる専門的知識と経験を持っており、適切なツールや手法を用いて証拠を収集し、インシデントの解明や被害の評価を行うことができます。
操作ログから不正の痕跡を探す方法
ここでは操作ログから不正の痕跡(不審なアクティビティ)を探す方法について説明します。なお、調査対象はシチュエーションごとに異なります。
あらかじめ「ファイルの読み書き履歴やUSBメモリの挿入」あるいは「取り外し履歴」など、何を調べるのか明確にしたうえで調査しましょう。
操作ログから不審なアクティビティを探す基本的な方法
操作ログから不正の痕跡を探す方法は次のとおりです。
- イベントビューアを使用して、Windowsログから注目するログを分析します。
- 不審なアクティビティを探します。これには、不審なログイン試行、不正なアプリケーションの起動などが含まれます。
- 次に操作ログを特定の条件でフィルタリング(グルーピング)することで、不正の痕跡を見つけやすくなります。例えば、特定の日時範囲、特定のユーザー、特定のイベントIDなどを使用してログを絞り込むことができます。これは右のメニューにある「現在のログをフィルター」の項目を選択することで表示できます。
- 過去の不正アクティビティのパターンを分析し、それらを操作ログに適用することで、不正コマンドの使用や特定のファイルへのアクセス、異常なネットワーク通信などを探すことができます。
ファイルの読み書き履歴から不審なファイル操作を探す方法
操作ログを使用してファイルの読み書き履歴から不審なファイル操作を探す方法は次のとおりです。
- イベントビューアの起動: Windowsの場合、スタートメニューから「イベントビューア」を検索して起動します。
- イベントビューアで、左側のパネルから「Windows ログ」を展開し、「セキュリティ」を選択します。
- 次に、右側のパネルで「フィルタの作成」をクリックします。
- フィルタの設定画面で、以下のような条件を指定します。
- イベントレベル:成功と失敗の両方のイベントを含めるため、レベルを「情報」に設定します。
- イベントID:ファイルの読み取り記録(MicrosoftイベントID: 4656)とファイルの書き込み記録(MicrosoftイベントID: 4663)を含めるため、IDを指定します。
- ソース:イベントのソースを「Microsoft-Windows-Security-Auditing」に設定します。
- フィルタの設定が完了したら、「OK」をクリックしてフィルタを適用します。その後、イベントビューアに表示されるイベントの一覧で、ファイルの読み書きに関連するイベントを確認できます。
- 不審なファイル操作の特定: ファイルアクセスイベントの一覧から、不審な活動や異常なパターンを特定します。
- 不審なファイル操作を特定し、不正アクセスやデータ漏えいの可能性がある場合には、適切な対応措置を実施します。
ログ解析ツールで操作ログを調査する方法
操作ログ解析ツールは、ログの管理や運用に必要なリソースを解消するために開発されたツールです。企業規模でログの解析・運用を行うためには、この解析ツールが必要なケースがほとんどです。
しかし、解析ツールによってはログの改ざんや編集が可能なため、証拠能力が認められない可能性があります。
社内不正や職務怠慢などで証拠提出の必要性がある場合は、不必要に触らず、調査会社に依頼して適切な手順で調査することが重要です。
デジタルデータフォレンジックでは、ログの改ざんや削除がないことの証明と、調査内容を記したレポートの作成が可能です。見積もり相談に無料で対応していますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
WindowsPCの操作ログで不正が発覚した場合に行うべきこと
WindowsPCの操作ログで不正が発覚した場合に行うべきことは次のとおりです。
- 端末をネットワークから切断する
- フォレンジック調査を行い、不正の証拠を収集する
- 内容証明郵便で不正行為者に対して警告を行う
①WindowsPCをネットワークから切断する
上記の方法で不正行為が発覚した場合、不正アクセスが直近も続いている場合、端末をネットワークから切断しましょう。これにより、追加の被害を防止することができます。
②フォレンジック調査を行い、不正の証拠を収集する
不正行為の証拠を確保するチームを組み、不正なログや関連するファイル、スクリーンショットなどを保存します。これは、後続の調査や法的手続きで役立つ可能性があります。
この際、フォレンジックの専門家と協力して、不正行為の原因や範囲を調査します。フォレンジックの専門家は不正行為の手口や経路を特定し、追加の脅威や被害の評価を行います。
フォレンジック調査とは:訴訟などに使う法的証拠の保全
PC操作ログには、ユーザーが行った操作の記録が残っています。このログを分析することで、不正行為を行ったユーザーの特定や、不正行為の内容を特定することができます。
しかし、操作ログや関連するファイル、メタデータ、削除履歴などの証拠は、自力で操作すると改変されやすく、そもそも法執行機関にそれを証拠として提出する場合、改変していないことを証明するのは困難です。
この際、フォレンジック調査は非常に有効です。フォレンジック調査とは、デジタルデータから重要な証拠を収集し、保存する手法です。
フォレンジック調査は、組織内の関係者とは独立して行われます。これにより、公正な視点からの調査が実施され、不正行為の発生原因や責任の特定において中立性と専門性が確保されます。これにより不正行為を行ったユーザーの特定や、不正行為の内容の特定について、法的に正確かつ適切に立証することができるわけです。
フォレンジック調査について詳しくは下記の記事をご覧ください。
③内容証明郵便で不正行為者に対して警告を行う
不正行為者に対して警告を行う場合は、内容証明郵便を利用することを検討してください。
内容証明郵便とは、郵便局が文書の内容、差出人、宛先、送付日時を証明するものです。これは、トラブルが発生した場合に、文書の存在や内容を証明するために役立ちます。
例えば、契約の解除通知や、金銭の支払い請求など、重要な文書を送付する場合に使用されます。つまり、不正行為者に対して警告を行う際、内容証明郵便を利用することで、警告が相手に確実に届いたかどうかを証明できるわけです。
ただ、不正行為者に対して内容証明郵便で警告を行う場合、以下の点に注意が必要です。
- 警告内容を明確にする
- 警告の期限を明記する
- 警告を無視した場合の措置を明記する
- 警告を行う日付を明記する
- 警告を行う人の署名をする
企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしインシデントに遭遇した場合、まず経緯や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
WindowsPCの操作ログ調査を行う場合、専門業者に相談する
不正アクセス、社内不正、情報持ち出し、職務怠慢のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\累計3.2万件の相談実績 まずはご相談ください/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
PC操作ログ調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\社内不正調査やPC・スマホ・サーバ解析なら/
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
デジタルデータフォレンジックの調査事例
| 依頼内容 | 社内PCにP2Pファイル同期ソフトがインストールされ、機密情報が不正にコピーされたことが発覚。社内PCのログを解析し、他にコピーされたファイルの有無を知りたい |
| 調査内容 | 証拠保全、P2Pファイル同期ソフトの調査、情報持ち出し調査 |
| 調査機器 | デスクトップPC1台 |
| 調査結果 | P2Pファイル同期ソフトが調査端末で実行されていたことが確認された。PC内には業務と無関係なファイルが多数保存されていたため、業務データのコピーや共有は可能な状態であることが判明。 |
WindowsPCの操作ログを調査する時の注意点
PC操作ログを調査する時は以下の点に注意して調査しましょう。
操作ログは簡単に改ざんできるため、厳格に管理する
操作ログはシステムの動作やユーザーの操作履歴を記録しますが、デジタルデータであるため、技術的な知識を持つ者が不正に改ざんすることが可能です。
ログの改ざんを防ぐためには、ログファイルへのアクセス権限を厳しく制限し、ハッシュ化や電子署名の技術を利用して改ざん検知を行うことが重要です。また、外部の監査システムを利用することで、管理者による改ざんも防ぐことができます。
社内でPCの操作ログを管理する際は社内規程に明記し、プライバシーに配慮する
企業が社内のPCの操作ログを管理する場合は、従業員のプライバシーに対する配慮が必要になります。社内規程にその実態が認識できるように明記しておくことが重要です。周知されたルールの範囲内であれば、プライバシー保護の観点を踏まえたうえで管理することができます。経済産業省では、個人情報保護に関する法律についてのガイドラインが規定されており、以下の3つを重要視しています。
- 社内規定の策定
- 管理者の任命
- ログ監視のあり方を問題とされるおそれの排除
周知しておかなければ、プライバシーの侵害などによって、企業側が不利益を被る可能性があります。必ず社内規程を整備し、明記しておくようにしましょう。
全てのシステムの時刻を統一し、ログの一貫性を保つ
システム全体で時刻が異なると、複数のシステムから取得したログを比較・分析する際に齟齬が生じ、問題解決が困難になります。そこで、全てのシステムの時刻を統一するために、NTP(Network Time Protocol)を使用することが推奨されます。
時刻が統一されていれば、異なるシステムのログをクロスリファレンスし、サイバー攻撃や異常な操作のタイムラインを正確に追跡できるため、セキュリティ上の透明性が向上します。
ログの保管・管理のためにバックアップを取る
ツールから取得したログは、定期的に保管し、削除や上書きから守るためにバックアップを取ることが必須です。デジタルデータは容易に書き換えや削除が可能なため、慎重に管理する必要があります。
もし操作ログが書き換えられてしまうと、社内での不正行為などに関する証拠として利用する場合に、証拠能力が損なわれる可能性があります。ログの管理とバックアップの作成をして、データの完全性と信頼性を確保してください。
ログの管理権限を限定し、私的利用を防ぐ
操作ログには機密情報が含まれる可能性があるため、ログの管理権限を持つユーザーを限定することが必要です。管理権限が広く与えられると、悪意のある内部者がログを不正に利用するリスクが高まります。
管理者アカウントへのアクセスは最小限に抑え、ログの閲覧や操作に関しても適切な監査ログを残すことで、透明性を確保します。さらに、定期的に監査などで権限を見直し、不要な権限が残らないように管理しましょう。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
