労務管理に関する訴訟
労務管理に関する訴訟もフォレンジック調査が非常に重要な事案が多い。
SOHOなどの職場環境では、労働時間を証明する手段がデジタルデータの解析以外にはない場合も多く、また、タイムカードなどの他の資料が残っていない場合や原告となる人物が過労死などで直接状況を説明できない場合も多いからである。
労務管理問題に対してデジタル・フォレンジックを行う場合、重要な手がかりとなるのがさまざまなログデータだ。OS が出力するものとアプリケーションが出力するものがあるが、いずれも改ざんされていないという前提があって初めて証拠性が確保される。不正侵入について調査を行う場合には、たサーバやルータのログだけではなく、業務に使用したと思われるPC のデータも重要な証拠となる。
PC のHDD を解析するためには専用のデジタル・フォレンジック・ツールを使用する。ソフトを使用する前段階として、対象となるPC のHDD の完全な物理コピーを作成し、証拠として保存しておく必要がある。物理コピーとは、OSで扱えるデータだけではなく、消去されたファイルの実データなどを含むHDD の完全なコピーだ。ここで作成されたHDD が、裁判などでは証拠として提出される。その後、証拠確保のためのHDD から解析用のデータを作成し、さらに別のHDD へとコピーしておく。解析に使用するデータは、サーバやルータのログ、PC 内のファイルやレジストリデータである。
実際に解析作業で使用するのは、HDDそのものだ。近年はファイル単位でパスワードを設定し、暗号化することも広まっているが、そういった問題には、パスワード解析を行う。こうして解読された各ファイルの内容とともに、Windows や各アプリケーションが利用しているレジストリデータも解析し、証拠として使用できる情報を探し出す。これらの解析結果に基づいて報告書を作成したら実際の訴訟を行うかこれらの証拠に基づいて該当者に対応を迫るなど、物理的な対処を行う。
さらにPCのアクセスログ機能では、すでに残っていない古いログが必要な場合も多いが、過去のログデータをデータ復旧して、フォレンジック調査することになる。