不正アクセス、情報漏えい、ランサムウェア、営業秘密の持ち出し、会計不正などに直面した企業が、証拠を守りながら調査会社を選び、費用と成果物を管理するための実務ポイントを整理します。
価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。
価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。
企業が不正アクセス、ランサムウェア、情報漏えい、営業秘密の持ち出し、横領、背任、不正会計、ハラスメント、独禁法違反、贈収賄、制裁違反、M&A後の不正発覚、海外訴訟の電子証拠開示などに直面した場合、最初の数時間から数日間の判断が証拠の信用性、事業復旧、当局報告、社内処分、損害賠償請求、保険金請求、対外説明、訴訟対応に影響します。
そのため、フォレンジック調査会社の選定と費用は、単なる外注先選びではありません。企業法務、危機管理、内部統制、サイバーセキュリティ、会計監査、経営判断が交わる重要な意思決定です。
この強調表示は、ページ全体の結論を先に示すものです。読者にとって重要なのは、安価な調査を探す前に、調査目的、証拠保全、費用上限、成果物をそろえておく点です。ここから、発注時に何を最優先で読むべきかを確認できます。
費用を抑える実務上の近道は、調査を省くことではありません。初期段階で証拠を失わず、調査目的を問いに落とし込み、段階的に範囲を絞り、予算上限・変更管理・成果物をSOWで明確にすることです。
次の比較表は、発注前に整理する5つの問いを示します。どの問いも費用と成果物に直結するため、未整理のまま相談すると広い見積になりやすい点を読み取ってください。
| 論点 | 実務上の問い |
|---|---|
| 目的設定 | 原因、被害範囲、情報漏えい有無、責任者、再発防止、訴訟証拠、当局報告のうち、何を明らかにしたいかを決めます。 |
| 選定 | 技術、法的耐久性、独立性、実績、情報管理、費用透明性を同じ前提で比べます。 |
| 費用 | 初動、保全、解析、レビュー、報告書、緊急対応、海外対応の内訳を確認します。 |
| 契約 | NDA、SOW、成果物、証拠管理、再委託、データ削除、費用上限、変更管理を定めます。 |
| ガバナンス | 依頼者、報告先、取締役会、監査役、外部専門家、保険会社、当局との連携を決めます。 |
通常のIT調査との違い、ハッシュ値、証拠管理、調査分野を押さえると、提案内容の良し悪しが見えます。
フォレンジックとは、法廷、鑑識、証拠化に関係する概念です。企業実務では、単なるIT調査やシステム調査ではなく、将来の社内処分、損害賠償請求、刑事告訴、当局報告、監査対応、第三者委員会、訴訟、仲裁、保険金請求、対外公表に耐えられる形で、証拠の同一性、完全性、取得経路、作業履歴、分析根拠を説明できるようにする調査を指します。
通常のIT調査との違いを理解すると、調査会社が復旧だけを見ているのか、証拠価値まで見ているのかを判別できます。次の比較表では、目的、優先順位、作業記録、成果物、関与者の違いを読み取ってください。
| 比較項目 | 通常のIT調査 | フォレンジック調査 |
|---|---|---|
| 主目的 | 復旧、障害解消、運用改善を中心にします。 | 証拠保全、事実認定、原因・範囲特定、法的説明を中心にします。 |
| 優先順位 | システム復旧が最優先になりやすいです。 | 証拠を失わない復旧手順を重視します。 |
| 作業記録 | 運用記録が中心です。 | 作業ログ、ハッシュ値、Chain of Custodyを重視します。 |
| 成果物 | 障害報告書や復旧報告書が中心です。 | 調査報告書、証拠一覧、時系列、再発防止提言を作ります。 |
| 関与者 | 情報システム部と既存ベンダーが中心です。 | 法務、外部弁護士、内部監査、CISO、会計士、調査会社が連携します。 |
| 証拠価値 | 主目的にならないことがあります。 | 将来の争訟・当局対応を意識します。 |
次の3つの項目は、調査会社の基礎力を判断するための概念です。読者にとって重要なのは、解析の前に保全方法の説明があるかどうかです。それぞれ、後から改変を疑われないための根拠として読み取れます。
電磁的記録が毀損・滅失・改変されないよう、端末、ログ、クラウドデータを適正に保存・管理します。初動で端末を不用意に起動しないことが重要です。
ファイルやイメージから計算される値により、複製元と複製先の同一性を確認します。報告書に記載されると証拠説明がしやすくなります。
証拠が誰から誰へ、いつ、どの状態で引き渡され、誰がアクセスしたかを記録します。管理の連鎖が弱いと反論を受けやすくなります。
フォレンジック調査は一枚岩ではなく、対象データや目的ごとに専門領域が分かれます。次の表では、自社案件がどの領域に近いかを確認し、候補会社の得意領域と照らし合わせてください。
| 分野 | 主な対象 | 典型的な目的 |
|---|---|---|
| コンピュータ | PC、HDD、SSD、外部媒体 | 操作履歴、削除ファイル、USB接続、ファイル移動、ブラウザ履歴、メール痕跡を確認します。 |
| モバイル | スマートフォン、タブレット | チャット、通話履歴、写真、位置情報、アプリデータを確認します。 |
| ネットワーク | FW、IDS、プロキシ、VPN、DNS、EDR | 侵入経路、横展開、外部通信、C2通信、データ送信痕跡を確認します。 |
| サーバー | Web、DB、AD、ファイルサーバー | 不正アクセス、権限昇格、情報取得、改ざん、ログ消去を確認します。 |
| クラウド | Microsoft 365、Google Workspace、AWS、Azure、SaaS | 管理者操作、ログイン履歴、メール転送、共有リンク、ストレージ操作を確認します。 |
| メール・チャット | Exchange、M365、Gmail、Slack、Teamsなど | 不正連絡、情報持ち出し、合意形成、贈収賄、ハラスメント、カルテルの痕跡を調べます。 |
| マルウェア解析 | 検体、メモリ、EDR検知データ | 感染経路、機能、暗号化、情報窃取、持続化、攻撃手口を確認します。 |
| フォレンジック会計 | 仕訳、請求、支払、在庫、経費、銀行取引 | 横領、架空取引、循環取引、粉飾、キックバック、不正会計を調べます。 |
| eディスカバリ | 大量電子文書、メール、契約、チャット | 海外訴訟・調査・仲裁における文書収集、処理、レビュー、提出に対応します。 |
サイバー、内部不正、会計、労務、規制、海外対応では、調査の目的と証拠の扱いが変わります。
フォレンジック調査会社が必要になる場面は、技術インシデントだけではありません。次の一覧は、案件類型ごとに調査目的と注意点を並べたものです。読者にとって重要なのは、同じ「調査」でも、漏えい報告、懲戒、損害算定、当局対応、訴訟で必要な深さが違う点です。
侵入経路、影響範囲、個人データや営業秘密の外部送信可能性を短期間で整理します。
当局報告本人通知暗号化復旧だけでなく、初期侵入、AD侵害、横展開、データ窃取可能性、再侵入防止を見ます。
復旧調整証拠保全USB接続、クラウド同期、メール転送、削除ファイル、ブラウザ履歴、印刷履歴を確認します。
退職者対応労務配慮仕訳、請求、支払、承認ログ、メール、チャット、取締役会資料を突合します。
損害算定内部統制メール、チャット、勤怠、入退館、PC操作履歴を扱います。過剰収集によるプライバシーリスクにも配慮します。
社内調査二次被害防止メール、会議招集、契約、請求、代理店、出張、経費精算、海外データ移転を横断的に扱います。
当局調査多言語対応個人情報漏えいでは、法定報告の時間軸と技術調査の時間軸が一致しません。次の比較表は、速報、中間、確報、追完の位置づけを示します。期限内に断定できない事項を無理に断定せず、判明事実と不明点を分ける読み方が重要です。
| 段階 | 目安 | 整理する内容 |
|---|---|---|
| 速報 | 概ね3〜5日以内 | 発覚日時、概要、現時点で判明している対象、初動対応、調査中であることを整理します。 |
| 中間 | 調査進行中 | 保全対象、追加判明事項、影響範囲の暫定評価を整理します。 |
| 確報 | 原則30日以内 | 合理的努力に基づく原因、影響範囲、漏えい可能性、再発防止策を整理します。 |
| 不正目的のおそれ | 原則60日以内 | 攻撃性が疑われる場合の追加調査、被害拡大、外部送信可能性を慎重に整理します。 |
| 追完 | 新事実判明時 | 確報後に判明した事実を追加報告として整理します。 |
不正アクセスと情報漏えいは同じではありません。不正アクセスの有無、期間、侵害アカウント、アクセス可能だったデータ、実際の閲覧・取得痕跡、外部送信痕跡、ログの限界、漏えい可能性を分けて説明します。
「全部調べる」ではなく、問い・対象・成果物・報告先を先に決めると、費用の膨張を抑えやすくなります。
フォレンジック調査会社に相談するとき、多くの企業は「全部調べてください」と言いたくなります。しかし、目的が曖昧な依頼は安全側に広く見積もられやすく、不要な個人情報や機密情報の処理も増えます。
次の表は、調査目的ごとに典型的な問いと成果物を対応させたものです。読者にとって重要なのは、目的が変わると調査対象、期間、報告書の粒度、費用が変わることです。
| 目的 | 典型的な問い | 成果物の例 |
|---|---|---|
| 初動判断 | インシデントか、単なる障害か。緊急遮断が必要かを確認します。 | 初動メモ、トリアージ結果、推奨対応 |
| 原因究明 | 侵入経路、不正実行者、マルウェア、設定不備を確認します。 | 時系列、原因分析、侵入経路図 |
| 影響範囲特定 | どの端末、サーバー、アカウント、データが影響を受けたかを確認します。 | 影響範囲一覧、侵害アカウント一覧 |
| 情報漏えい有無 | 個人データ、営業秘密、機密情報が外部送信されたかを確認します。 | 外部通信分析、転送履歴、漏えい可能性評価 |
| 社内処分 | 誰が、いつ、何をしたか、就業規則違反に関係するかを確認します。 | 行為者別証拠一覧、ヒアリング資料 |
| 損害算定 | 横領額、逸失利益、復旧費、通知費用を確認します。 | 損害試算、会計分析、証憑突合表 |
| 当局報告 | 個人情報保護委員会、金融庁、警察等へ何を報告するかを整理します。 | 報告書、確報用資料、技術説明資料 |
| 訴訟・保全 | 差止、損害賠償、刑事告訴、仮処分に使える証拠かを検討します。 | 証拠保全報告書、陳述書、専門的意見 |
| 再発防止 | 何を改善し、どの統制不備を直すかを整理します。 | 再発防止提言、技術対策、統制改善案 |
調査会社の種類は似た名称でも実態が異なります。次の比較一覧では、会社類型ごとの強みと注意点を整理しています。自社の目的に対して、単独で足りるのか、弁護士・会計士・復旧会社との組み合わせが必要かを読み取ってください。
| 類型 | 強み | 注意点 |
|---|---|---|
| デジタルフォレンジック専業会社 | PC、スマホ、サーバー、ログの保全・解析に強いです。 | 法務、会計、広報、当局報告は別専門家が必要なことがあります。 |
| サイバーインシデントレスポンス会社 | ランサムウェア、不正アクセス、封じ込め、復旧に強いです。 | 復旧優先で証拠保全の説明が弱くならないか確認します。 |
| セキュリティ監視・SOC会社 | EDR、ログ、ネットワーク監視に強いです。 | 事後的な法的証拠化や報告書作成の能力を確認します。 |
| フォレンジック会計チーム | 不正会計、横領、損害算定、内部統制に強いです。 | デジタル証拠保全は提携会社対応になることがあります。 |
| eディスカバリベンダー | 大量文書処理、レビュー支援、海外訴訟に強いです。 | サイバー攻撃の技術解析は主領域でない場合があります。 |
| 危機管理コンサルティング会社 | 調査設計、広報、第三者委員会支援、経営対応に強いです。 | 実際の技術保全は外部専門家依存の場合があります。 |
| 大手総合ファーム | グローバル、会計、法務、IT、危機管理の統合力があります。 | 費用が高額化しやすく、利益相反確認も重要です。 |
| 小規模専門会社 | 機動力、専門特化、費用柔軟性があります。 | 大規模案件、24時間対応、海外対応、レビュー体制を確認します。 |
既存ITベンダー、復旧会社、調査会社の役割は、同じ会社に任せるか分けるかを検討します。次の判断の流れは、利益相反や証拠改変の疑いを避けるための順番を示します。分岐では、既存ベンダー自身の責任が問題になるかどうかを読み取ってください。
障害、侵害、内部不正、会計不正のどれに近いかを整理します。
過去作業の妥当性が調査対象になるかを見ます。
ログ提供と復旧協力は受けつつ、原因調査は別主体にします。
保全、復旧、報告書、作業ログの責任をSOWに分けて書きます。
10項目を総合評価し、登録リスト、資格、報告書サンプル、独立性、情報管理、初動力を確認します。
フォレンジック調査会社の選定では、単価や知名度だけではなく、案件目的との適合性、証拠保全、報告書品質、独立性、情報管理、プロジェクト管理を同時に評価します。次の表は、選定時に確認する10項目を示します。どの項目が弱いと後工程で困るかを読み取ってください。
| 評価軸 | 確認ポイント |
|---|---|
| 調査目的との適合性 | 自社案件に必要な技術・法務・会計・危機管理の領域をカバーしているかを確認します。 |
| 証拠保全能力 | ハッシュ値、イメージ取得、作業ログ、Chain of Custody、証拠保管を説明できるかを確認します。 |
| 技術領域 | PC、スマホ、サーバー、AD、クラウド、EDR、メール、ログ、マルウェア、会計データに対応できるかを確認します。 |
| 報告書品質 | 調査範囲、根拠、限界、時系列、証拠、再発防止を明確に書けるかを確認します。 |
| 法務連携 | 外部弁護士、企業内弁護士、当局報告、訴訟、刑事告訴、第三者委員会に慣れているかを確認します。 |
| 独立性・利益相反 | 既存ベンダー、加害疑い者、取引先、監査法人、保険会社との関係を確認します。 |
| 情報管理 | 秘密保持、暗号化、アクセス制御、再委託管理、保管・削除、国外移転管理を確認します。 |
| プロジェクト管理 | 24時間対応、初動、定例報告、課題管理、変更管理、経営報告に対応できるかを確認します。 |
| 費用透明性 | 単価、前提、上限、追加費用、報告書費用、緊急費、旅費、保管費を明示するかを確認します。 |
| 実績・資格 | 類似案件、業界経験、登録制度、資格、ツール、専門家の経歴を確認します。 |
次の注意要素の一覧は、価格が安くても慎重に扱うべき兆候をまとめたものです。読者にとって重要なのは、調査のやり直し、証拠価値の低下、追加費用につながる兆候を早めに見つけることです。
ハッシュ値、作業ログ、証拠管理を軽視する場合、後でデータの同一性を説明しにくくなります。
報告書の用途が重い場面では、確認できた範囲と確認できない範囲の区別が不可欠です。
端末追加、ログ追加、会議、報告書、旅費、緊急費の条件が曖昧だと費用が膨らみます。
調査会社には顧客データ、従業員情報、営業秘密、役員メールが渡るため、保管と削除の管理が重要です。
既存ベンダーや監査法人の過去業務が問題になる案件では、独立性が調査の信用に影響します。
「絶対に漏えいはない」といった断定は、ログ不足や調査限界がある場面では慎重に扱います。
報告書サンプルは、選定前に確認すると効果的です。次の比較表では、良い報告書に含めたい要素を整理しています。調査結果の「言い切り」ではなく、根拠と限界を分ける姿勢を読み取ってください。
| 報告書で確認する要素 | 見るポイント |
|---|---|
| 目的と範囲 | 何を明らかにする調査か、対象外にした範囲と理由が明確です。 |
| 保全方法 | 保全方法、ハッシュ値、作業ログ、証拠管理が説明されています。 |
| ログの期間と限界 | 使用したログの期間、種類、保存状態、欠落範囲が示されています。 |
| 事実と評価の区別 | 確認事実、推測、法的評価に関係する前提、調査上の限界が分かれています。 |
| 時系列 | 初期侵入、被害拡大、外部通信、対応履歴が時系列で追えます。 |
| 再発防止 | 抽象論ではなく、設定、運用、統制、期限、責任者に落ちています。 |
小規模な端末調査から大規模インシデントまで、費用は数万円台から数千万円以上まで大きく変動します。
フォレンジック調査の費用は、端末1台の限定調査では数万円〜数十万円から見積もられることがある一方、ランサムウェア、不正アクセス、情報漏えい、会計不正、海外訴訟、第三者委員会では数百万円〜数千万円以上となることがあります。
次の比較グラフは、公開資料に出てくる代表的な金額感を相対的に示します。高さは大きい金額ほど上に伸びる見せ方です。読者は、中央値・標準的な中小規模・最大試算の間に大きな幅があることを読み取ってください。
次の表は、案件規模ごとの目安を実務で使いやすい形に整理したものです。個別見積では対象台数、容量、ログ保存、クラウド、緊急度、報告書用途が変動要素になるため、表の金額を固定価格として扱わない点が重要です。
| 案件規模・内容 | 目安 | 注意点 |
|---|---|---|
| 端末1台の簡易確認 | 数万円〜数十万円 | 法的報告書、緊急対応、複数媒体、クラウド、弁護士連携は別費用になりやすいです。 |
| 端末1台の詳細調査 | 数十万円〜150万円程度 | 削除データ復元、証拠データ納品、詳細報告書の有無で変動します。 |
| ログ解析・メール調査 | 数十万円〜100万円超 | ログ量、対象期間、システム数、メール件数、レビューの深さで変動します。 |
| PCとサーバー数台のインシデント調査 | 概ね300万〜400万円 | 初動対応とフォレンジック調査を合わせた目安です。 |
| サイバー攻撃疑いの中小企業シナリオ | 中央値275万円、最大825万円 | 特定シナリオの試算であり、個別案件の保証ではありません。 |
| ランサムウェア調査 | 200万〜1,000万円以上の例 | AD侵害、横展開、データ窃取可能性、復旧調整が重なると上がります。 |
| 大規模インシデント | 数千万円以上 | 端末数、ネットワーク内挙動、海外拠点、報告書用途で大きく変わります。 |
| 不正会計・第三者委員会・海外対応 | 数百万円〜数千万円以上 | 会計分析、弁護士レビュー、ヒアリング、翻訳、海外データ処理が重なります。 |
費用の内訳は、総額だけでは判断できません。次の表は費目と変動要因を並べています。見積書では、何が含まれ、何が別費用かをこの順番で確認してください。
| 費目 | 内容 | 費用を左右する要因 |
|---|---|---|
| 初動相談・トリアージ | 事案把握、緊急度判断、保全指示、封じ込め方針を整理します。 | 休日夜間、緊急派遣、会議回数、専門家人数 |
| 証拠保全 | PC、サーバー、スマホ、ログ、クラウドデータを保全します。 | 台数、容量、暗号化、遠隔地、クラウド権限、停止可否 |
| データ取得・処理 | イメージ取得、コピー、インデックス化、重複排除を行います。 | 容量、ファイル数、形式、破損データ |
| 解析 | 操作履歴、削除データ、マルウェア、ログ、外部通信を調べます。 | 調査仮説、ログ保存期間、EDR有無、攻撃の複雑性 |
| 文書レビュー | メール、チャット、契約、会計資料を確認します。 | 件数、言語、弁護士レビュー、秘匿特権判定、AI利用 |
| 報告書作成 | 技術報告、経営報告、当局報告、裁判対応の資料を作ります。 | 詳細度、用途、ドラフト回数、証拠添付、英訳 |
| データ保管・ホスティング | 調査データ、レビュー基盤、証拠を保管します。 | 容量、期間、セキュリティ要件、国外保管可否 |
料金体系は、固定料金、時間単価、台数単価、データ量単価、フェーズ別、リテイナー、成果物別に分かれます。次の表では、予算化しやすさと追加費用のリスクを読み取ってください。
| 料金体系 | 内容 | メリット | 注意点 |
|---|---|---|---|
| 固定料金 | 端末1台、特定メニュー、初期調査などを定額化します。 | 予算化しやすいです。 | 範囲外作業が多いと追加費用が発生します。 |
| 時間単価 | 専門家の稼働時間に単価を掛けます。 | 複雑案件に柔軟です。 | 上限管理がないと膨らみやすいです。 |
| 台数単価 | PC、サーバー、スマホ1台あたりで計算します。 | 対象機器が明確なら分かりやすいです。 | 容量や複雑性を反映しない場合があります。 |
| データ量単価 | GB、TB、メール件数、文書件数で計算します。 | eディスカバリやホスティングに向きます。 | レビュー費用は別途大きくなることがあります。 |
| フェーズ別 | 初動、保全、解析、報告書を段階契約にします。 | 費用管理しやすいです。 | フェーズ間の成果物と判断基準を明確にします。 |
| リテイナー | 平時契約で緊急対応枠を確保します。 | 初動が速くなります。 | 未使用分、対応範囲、優先順位を確認します。 |
調査範囲、ログ不足、クラウド、緊急対応、報告書用途、人手レビュー、海外対応が費用を押し上げます。
費用を最も左右するのは対象範囲です。端末数、サーバー数、クラウドサービス数、ログ種類、対象期間、対象者数、メール件数、チャット件数、会計データ量が増えるほど費用は増えます。
次の注意要素の一覧は、費用が上がりやすい代表要因を示します。読者にとって重要なのは、見積の高低だけではなく、なぜ工数が増えるのかを理解し、事前準備で減らせる要因と減らせない要因を分けることです。
Webサーバー1台の問題に見えても、VPN、AD、ファイルサーバー、バックアップ、クラウド、管理者PCに広がることがあります。
ログがない、短い、時刻がずれている場合、端末痕跡や外部サービスログから間接的に確認するため工数が増えます。
監査ログの保存期間、管理者権限、API制限、国外リージョン、データ移転規制が調査の難度に影響します。
夜間・休日・連休中の即時アサイン、移動、複数チーム投入、24時間体制は通常対応より高額になります。
取締役会、監査役会、第三者委員会、裁判所、当局、保険会社に使う場合、根拠と限界の記載が厚くなります。
メール、チャット、証憑、秘匿特権、文脈判断は専門家の確認が必要になりやすく、費用が増えます。
費用を抑える実務的な方法は、調査を段階化することです。次の時系列は、初動から事後改善までを分ける考え方を示します。各段階で継続判断を置くことで、必要な範囲に費用を集中させられます。
緊急封じ込め、端末利用停止、ログ上書き防止、対象候補の整理を行います。
重要端末、ログ、クラウドデータを保全し、本格調査へ進むか判断します。
中間報告と時系列を作り、追加対象を広げる必要があるかを判断します。
最終報告書、再発防止策、当局・訴訟・社内処分の資料を整えます。
改善計画、訓練、監査、ログ保持設計を行い、次の危機に備えます。
調査対象は「メールを全部見る」ではなく、問いから逆算します。次の一覧は、問いに変換した例を示します。読者は、対象期間、対象データ、検索条件を絞るほど、費用とプライバシーリスクを管理しやすくなる点を読み取ってください。
「顧客リストAが特定期間に外部送信されたか」のように、対象データと期間を絞ります。
「退職者Xが設計データをコピーしたか」のように、端末、フォルダ、操作履歴を特定します。
「攻撃者はVPNから入ったのか、Web脆弱性から入ったのか」のように仮説を分けます。
「DBへの大量SELECTやエクスポート痕跡があるか」をログと権限から確認します。
「取引先Yへの支払は実在取引に基づくか」を会計証憑と通信履歴で突合します。
「役員Zは不正を知っていたか」を会議資料、メール、承認ログから慎重に確認します。
社内で先に行う作業は、証拠を壊さない範囲に限定します。次の比較表では、実施してよい対応と慎重に扱う対応を分けています。費用削減のための社内対応が、後の追加費用を招かないように読むことが重要です。
| 行ってよい対応 | 慎重に扱う対応 |
|---|---|
| 端末の利用停止を指示します。 | PCを再起動します。 |
| ネットワークから隔離します。 | ウイルススキャンで駆除します。 |
| 画面やエラーメッセージを写真で記録します。 | ファイルを開く、コピーする、削除する作業を行います。 |
| 関係者、時刻、発見経緯をメモします。 | ログを手作業で加工します。 |
| ログ保存期間を確認し、上書き防止を依頼します。 | 加害疑い者本人に端末操作をさせます。 |
| 証拠候補の所在を一覧化します。 | 私用端末や個人アカウントを無断で取得します。 |
一式見積を分解し、作業範囲、成果物、除外事項、データ管理、配布範囲を契約で固定します。
見積書を受け取ったら、総額ではなく前提条件と除外事項を確認します。「フォレンジック調査一式」とだけ記載されている場合、初動、保全、解析、報告書、会議、保管費、旅費、クラウド、スマホが含まれているか分かりません。
次の表は、見積書で必ず確認する項目を整理したものです。読者にとって重要なのは、追加費用が出る場所と、成果物として残るものを同時に確認することです。
| 確認項目 | 確認すべき質問 |
|---|---|
| 調査目的 | この見積は何を明らかにするためのものかを確認します。 |
| 対象範囲 | 対象端末、ログ、クラウド、メール、期間、対象者が明記されているかを確認します。 |
| 除外事項 | スマホ、クラウド、削除データ復元、報告書、報告会、旅費が除外されていないかを確認します。 |
| 成果物 | 最終報告書、証拠データ、ハッシュ値、作業ログ、時系列が含まれるかを確認します。 |
| 単価 | 時間単価、台数単価、GB単価、報告書単価、緊急費が明示されているかを確認します。 |
| 追加費用 | 追加端末、追加期間、追加会議、翻訳、専門家会議の費用を確認します。 |
| スケジュール | 保全開始、中間報告、最終報告の時期が明確かを確認します。 |
| データ管理 | データ保管場所、削除、返却、再委託が明確かを確認します。 |
SOWは作業範囲記述書です。次の表では、SOWに入れる項目を並べています。背景、目的、対象、作業、成果物、費用、変更管理、情報管理を一つずつ確認し、後日の範囲追加と責任分担の争いを防ぐ読み方が重要です。
| 項目 | 内容 |
|---|---|
| 背景 | 事案の概要、発覚経緯、緊急度を記載します。 |
| 目的 | 原因究明、影響範囲、漏えい有無、証拠化、再発防止などを記載します。 |
| 対象 | 端末、サーバー、クラウド、ログ、メール、対象者、期間を記載します。 |
| 作業 | 保全、取得、解析、レビュー、報告書、報告会を記載します。 |
| 除外事項 | スマホ、海外拠点、翻訳、証言、復旧作業などを記載します。 |
| 成果物 | 中間報告、最終報告書、証拠一覧、ハッシュ値、作業ログを記載します。 |
| 費用 | 上限、単価、実費、追加費用、支払条件を記載します。 |
| 変更管理 | 範囲追加・費用追加の承認手続を記載します。 |
| 情報管理 | 秘密保持、アクセス制御、暗号化、再委託、保管場所を記載します。 |
| 返却・削除 | 調査終了後の扱い、削除証明、証拠保管例外を記載します。 |
調査報告書は、提出先によって粒度を変えます。次の一覧は、同じ事実を用途別に分ける考え方を示します。読者は、配布範囲を広げすぎると機密性や個人情報保護上のリスクが高まる点を確認してください。
証拠、限界、法的評価に関係する前提を厚く記載します。配布先を限定します。
意思決定に必要な事実、リスク、費用、再発防止策を分かりやすく整理します。
速報・確報で求められる項目に合わせ、判明事実と不明点を分けます。
技術的詳細を過度に出しすぎず、影響範囲、対応状況、再発防止を整理します。
事故状況、費用、復旧、調査範囲、損害との関係を説明します。
設定、ログ、権限、委託先管理、教育、監査の改善計画に落とし込みます。
情報漏えい案件では、「漏えいなし」と書けるかが問題になります。次の比較表では、慎重な表現と危険な表現を分けています。根拠のない断定は、後日新事実が出た場合に信頼を損なう可能性があります。
| 慎重な表現 | 避けたい表現 |
|---|---|
| 調査対象ログの範囲では、外部送信を示す痕跡は確認されませんでした。 | 漏えいは絶対にありません。 |
| 当該期間以前のログは保存されておらず、当該期間は評価できません。 | ログがないため問題はありません。 |
| 対象DBのアクセスログからは、大量エクスポートを示す操作は確認されませんでした。 | アクセス可能だっただけなので通知は不要です。 |
| 管理者権限の範囲から、理論上アクセス可能だったデータがあります。 | 証拠が出ていないため影響はありません。 |
ランサムウェア、退職者持ち出し、個人情報漏えい、不正会計、第三者委員会、海外対応で選定軸を変えます。
案件類型によって、必要な専門性と費用設計は変わります。次の一覧は、主要な類型ごとに必要能力と注意点をまとめたものです。読者は、自社案件に近い行を起点に、必要な会社類型と外部専門家の組み合わせを確認してください。
封じ込め、AD・VPN・EDR解析、マルウェア解析、データ窃取可能性、バックアップ復旧、警察・JPCERT/CC・保険対応を見ます。
200万〜1,000万円以上の例24時間対応PCイメージ、USB接続、ファイル操作、削除データ、メール、クラウド、ブラウザ、同期アプリ履歴を確認します。
数十万円から私的領域に注意Web、DB、WAF、FW、VPN、認証ログ、外部送信痕跡、対象個人データの範囲を確認します。
300万〜800万円程度の例速報と確報会計データ、証憑、支払、メール、チャット、稟議、承認ログ、損害額、内部統制を統合して見ます。
数百万円以上会計士連携独立性、中立性、説明責任、報告書根拠、大量メールレビュー、会計分析、ヒアリング支援が重要です。
公表対応役員関与現地法務、多言語処理、国外データ移転、秘匿特権レビュー、海外訴訟・国際仲裁への説明を見ます。
海外法務データ移転次の表は、案件類型別の概算レンジと高額化要因を整理しています。金額は公開情報と実務上の整理に基づく目安であり、実際には対象範囲、ログ保存、海外要素、報告書用途で変わる点を読み取ってください。
| シナリオ | 概算レンジ | 高額化要因 |
|---|---|---|
| 退職者の持ち出し疑い | 最小50万〜100万円程度、標準100万〜250万円程度、複雑300万円以上 | スマホ、私用アカウント、複数関係者、削除データ復元、仮処分・訴訟用報告書 |
| Webサイト不正アクセスと顧客情報漏えい疑い | 初動100万〜300万円程度、標準300万〜800万円程度、大規模1,000万円以上 | ログ不足、複数脆弱性、横展開、個人データ範囲の特定、顧客説明 |
| ランサムウェア | 小規模300万〜700万円程度、中規模700万〜1,500万円程度、大規模2,000万円以上 | AD侵害、バックアップ暗号化、営業秘密窃取、休日発覚、再侵入防止 |
| 不正会計・キックバック | 限定300万〜800万円程度、標準800万〜2,000万円程度、複雑2,000万円以上 | 大量メール、紙証憑、海外送金、役員関与、公表用報告書 |
内部不正では、ヒアリング前の保全が特に重要です。次の判断の流れは、疑いを伝える前にどこまで証拠を押さえるかを整理するものです。分岐では、私物端末や私的アカウントに踏み込む前に法的検討が必要な点を確認してください。
PC、メール、チャット、ファイルサーバー、クラウド、入退館、印刷ログを整理します。
関係者がメール削除、クラウド削除、チャット退出を行う可能性を検討します。
弁護士等と相談し、会社管理下の証拠を適法な範囲で保全します。
対象者、期間、検索語、プライバシー配慮、反論機会を整理します。
クロスボーダーやクラウドでは、国内端末を保全するだけでは足りないことがあります。次の比較表では、クラウドと海外対応で契約前に確認する項目を示します。取得できないデータの限界を報告書に書けるかを重視してください。
| 領域 | 契約前に確認する項目 |
|---|---|
| クラウド証拠 | 対象SaaS・IaaS・PaaSの調査経験、監査ログ取得手順、管理者権限、ハッシュ値、ログ保存期間、CSPサポート連携を確認します。 |
| 海外子会社 | 現地法務チーム、多言語処理、国外データ移転、現地保全パートナー、タイムゾーン対応を確認します。 |
| eディスカバリ | リーガルホールド、メタデータ、重複排除、秘匿特権レビュー、提出形式に最初から対応できるか確認します。 |
| 会計不正 | 仕訳、請求、支払、取引先マスタ、メール、承認ログ、取締役会資料を統合できるか確認します。 |
緊急時に迷わないよう、評価配点、初回相談前の確認事項、RFP質問、予算モデルを平時から準備します。
次の横方向の長さは、100点満点の評価表における配点の大きさを表します。配点が大きい項目ほど、選定時の影響が大きい点を読み取ってください。費用透明性だけでなく、証拠保全と技術能力が同じく重いことが分かります。
初回相談前には、事案概要、技術情報、証拠候補、法務・ガバナンス、予算・契約を整理します。次の一覧は、相談前の準備を5つに分けたものです。読者は、証拠を操作せず、情報だけを集める範囲を確認してください。
発覚日時、発見者、発見経緯、業務影響、既に行った対応、関係部署、想定される法的論点を整理します。
対象システム、端末・サーバー台数、クラウド、ネットワーク構成、ログ保存期間、EDR、VPN、バックアップを整理します。
PC、スマホ、外部媒体、メール、チャット、ファイルサーバー、会計、勤怠、入退館、印刷、録音、契約書を整理します。
外部専門家、取締役会、監査役会、当局報告、顧客通知、労務、刑事告訴、保険、公表の可能性を整理します。
緊急発注権限者、稟議、予算上限、基本契約、NDA、保険会社指定ベンダー、利益相反を整理します。
RFPでは、会社・体制、技術・証拠保全、法務・会計・報告書、情報管理、費用、独立性を質問します。次の表では質問群を要約しています。提案を横並びにするため、全社に同じ質問を投げる点を読み取ってください。
| 質問群 | 確認する内容 |
|---|---|
| 会社・体制 | サービス範囲、担当者の経歴・資格、24時間対応、海外対応、再委託管理を確認します。 |
| 技術・証拠保全 | PC、サーバー、スマホ、クラウド、メール、チャットの保全手順とハッシュ値管理を確認します。 |
| 法務・会計・報告書 | 弁護士指揮下の経験、当局・警察・保険対応、不正会計、報告書サンプルを確認します。 |
| 情報管理 | 国内外の保管場所、暗号化、アクセス制御、多要素認証、削除証明、事故通知を確認します。 |
| 費用 | 初動、保全、解析、報告書、報告会、PM、実費、緊急割増、上限管理を確認します。 |
| 独立性 | 自社、子会社、既存ITベンダー、監査法人、主要取引先との関係を確認します。 |
費用は、総費用を分解して考えます。次の強調表示は、予算モデルの基本式を示します。どの費目が増えたかを追うことで、追加見積の理由を説明しやすくなります。
証拠保全費は対象台数と現地作業で増え、データ処理費は容量で増え、レビュー費は文書件数と専門家時間で増えます。報告書費は用途とドラフト回数で変わります。
緊急時の最初の30分は、証拠を守る行動に集中します。次の時系列は、最初に行うことを順番に示します。読者は、公表や通知を急ぐ前に、判明事実と不明点を分ける必要があることを確認してください。
発見者、通知内容、画面表示、既に行った操作を記録します。
暗号化や外部通信が進行中の機器は、状況に応じて隔離を検討します。
対象端末の利用を止め、ログ保存期間と上書き防止を確認します。
法務、CISO、情報システム、経営、個人情報保護担当へ必要最小限で共有します。
外部弁護士とフォレンジック調査会社に相談し、判明事実と不明点を区分します。
平時には、初動連絡網や候補会社だけでなく、ログ保存一覧やデータ分類表も準備します。次の一覧は、社内文書を目的別に整理したものです。危機発生時に探す資料を減らすことが、費用と時間の節約につながります。
| 分類 | 準備する文書 |
|---|---|
| 危機対応 | インシデント対応規程、初動連絡網、候補会社リスト、外部専門家リスト、サイバー保険証券と連絡先 |
| システム | 重要システム一覧、ログ保存一覧、クラウドサービス一覧、委託先一覧、ネットワーク構成図 |
| データ管理 | データ分類表、個人情報台帳、営業秘密管理規程、証拠保全手順書 |
| 人事・内部通報 | 端末貸与規程、BYOD規程、内部通報規程、懲戒規程 |
| 報告 | 取締役会・監査役会報告テンプレート、個人情報漏えい報告テンプレート、顧客・取引先通知テンプレート、メディア想定問答 |
一般的な制度・実務情報として整理します。個別事情によって結論は変わります。
一般的には、同じではないとされています。端末調査、ランサムウェア、クラウド、会計不正、eディスカバリでは必要な専門性が異なります。ただし、案件目的や証拠状況によって適切な体制は変わります。具体的な選定は、目的と資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、安い見積が直ちに不適切とは限らないとされています。ただし、証拠保全、報告書、法務連携、情報管理、追加費用が抜けている場合、後で再調査が必要となる可能性があります。個別事情によって判断が変わるため、同じ前提で比較する必要があります。
一般的には、社内IT部門の初動記録や隔離は重要とされています。一方で、再起動、初期化、ファイル操作、ログ加工などにより証拠価値が下がる可能性があります。具体的な対応範囲は、事案の緊急度と証拠状況に応じて専門家へ相談する必要があります。
一般的には、ログがあっても、期間が短い、時刻がずれている、必要項目がない、攻撃者に消されている、形式が解析困難といった限界があり得るとされています。調査可能性はログの種類、保存期間、取得方法で変わります。
一般的には、必ず断定できるわけではありません。ログ欠落、暗号化通信、権限侵害、クラウド監査ログの制約などにより、確認できた範囲と確認できない範囲が分かれる可能性があります。報告書では根拠、推定、限界を分ける必要があります。
一般的には、フォレンジック調査は事実認定の重要な材料ですが、法的評価、当局報告、本人通知、懲戒、訴訟、開示、公表の判断を代替するものではないとされています。具体的な対応方針は、経営、法務、広報、個人情報保護担当、弁護士等の専門家が連携して検討する必要があります。
一般的には、大手には総合力やグローバル対応力がある一方、費用や担当チームの適合性を確認する必要があるとされています。小規模専門会社にも機動力や専門性があります。会社名だけでなく、担当者、実績、独立性、報告書品質、費用透明性で比較する必要があります。
一般的には、復旧と証拠保全は目的が異なるとされています。復旧会社が報告書を作ること自体はあり得ますが、証拠保全、作業ログ、利益相反、法的耐久性、報告書用途を確認する必要があります。具体的には弁護士等の専門家に相談する必要があります。
公的機関、標準化機関、専門団体、実務資料を中心に整理しています。