2σ Guide

フォレンジック調査会社の
選定と費用

不正アクセス、情報漏えい、ランサムウェア、営業秘密の持ち出し、会計不正などに直面した企業が、証拠を守りながら調査会社を選び、費用と成果物を管理するための実務ポイントを整理します。

3〜5日 漏えい等報告の速報目安
275万円 サイバー攻撃疑いの中央値試算
100点 調査会社評価の配点例
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

フォレンジック調査会社の 選定と費用

価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
フォレンジック調査会社の 選定と費用
価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • フォレンジック調査会社の 選定と費用
  • 価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。

POINT 1

  • フォレンジック調査会社の選定と費用の全体像
  • 価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。
  • 価格の安さだけでは選べません
  • そのため、フォレンジック調査会社の選定と費用は、単なる外注先選びではありません。
  • 企業法務、危機管理、内部統制、サイバーセキュリティ、会計監査、経営判断が交わる重要な意思決定です。

POINT 2

  • フォレンジック調査会社の選定前に知る定義と証拠保全
  • 通常のIT調査との違い、ハッシュ値、証拠管理、調査分野を押さえると、提案内容の良し悪しが見えます。
  • 証拠保全
  • ハッシュ値
  • Chain of Custody

POINT 3

  • フォレンジック調査会社が必要になる企業法務の場面
  • サイバー、内部不正、会計、労務、規制、海外対応では、調査の目的と証拠の扱いが変わります。
  • フォレンジック調査会社が必要になる場面は、技術インシデントだけではありません。
  • 読者にとって重要なのは、同じ「調査」でも、漏えい報告、懲戒、損害算定、当局対応、訴訟で必要な深さが違う点です。
  • 侵入経路、影響範囲、個人データや営業秘密の外部送信可能性を短期間で整理します。

POINT 4

  • フォレンジック調査会社へ依頼する目的と役割分担
  • 1. 事案の性質を確認します:障害、侵害、内部不正、会計不正のどれに近いかを整理します。
  • 2. 既存ベンダーの設定・監視・保守が論点になりますか:過去作業の妥当性が調査対象になるかを見ます。
  • 3. 独立した第三者調査を検討します:ログ提供と復旧協力は受けつつ、原因調査は別主体にします。
  • 4. 役割分担を明文化します:保全、復旧、報告書、作業ログの責任をSOWに分けて書きます。

POINT 5

  • フォレンジック調査会社の費用相場と料金体系
  • 小規模な端末調査から大規模インシデントまで、費用は数万円台から数千万円以上まで大きく変動します。
  • 次の比較グラフは、公開資料に出てくる代表的な金額感を相対的に示します。
  • 高さは大きい金額ほど上に伸びる見せ方です。
  • 読者は、中央値・標準的な中小規模・最大試算の間に大きな幅があることを読み取ってください。

POINT 6

  • フォレンジック調査会社の費用が高くなる要因と抑え方
  • 1. 初動相談と証拠破壊防止:緊急封じ込め、端末利用停止、ログ上書き防止、対象候補の整理を行います。
  • 2. 重要対象の保全と仮説整理:重要端末、ログ、クラウドデータを保全し、本格調査へ進むか判断します。
  • 3. 原因・範囲・漏えい可能性の分析:中間報告と時系列を作り、追加対象を広げる必要があるかを判断します。
  • 4. 法的・会計的評価と報告書:最終報告書、再発防止策、当局・訴訟・社内処分の資料を整えます。
  • 5. 事後改善と平時体制への移行:改善計画、訓練、監査、ログ保持設計を行い、次の危機に備えます。

POINT 7

  • フォレンジック調査会社の見積書・SOW・報告書の読み方
  • 一式見積を分解し、作業範囲、成果物、除外事項、データ管理、配布範囲を契約で固定します。
  • 外部弁護士・法務部向け詳細版
  • 経営会議・取締役会向け要約版
  • 当局報告用資料

POINT 8

  • フォレンジック調査会社の案件類型別の選び方
  • 1. 会社貸与端末と業務アカウントを把握します:PC、メール、チャット、ファイルサーバー、クラウド、入退館、印刷ログを整理します。
  • 2. ヒアリングで証拠削除のリスクがありますか:関係者がメール削除、クラウド削除、チャット退出を行う可能性を検討します。
  • 3. 先に業務領域を保全します:弁護士等と相談し、会社管理下の証拠を適法な範囲で保全します。
  • 4. 調査計画を説明可能にします:対象者、期間、検索語、プライバシー配慮、反論機会を整理します。

まとめ

  • フォレンジック調査会社の 選定と費用
  • フォレンジック調査会社の選定と費用の全体像:価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。
  • フォレンジック調査会社の選定前に知る定義と証拠保全:通常のIT調査との違い、ハッシュ値、証拠管理、調査分野を押さえると、提案内容の良し悪しが見えます。
  • フォレンジック調査会社が必要になる企業法務の場面:サイバー、内部不正、会計、労務、規制、海外対応では、調査の目的と証拠の扱いが変わります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

フォレンジック調査会社の選定と費用の全体像

価格比較だけでなく、証拠保全、法務連携、報告書品質、調査範囲、変更管理を同時に見ます。

企業が不正アクセス、ランサムウェア、情報漏えい、営業秘密の持ち出し、横領、背任、不正会計、ハラスメント、独禁法違反、贈収賄、制裁違反、M&A後の不正発覚、海外訴訟の電子証拠開示などに直面した場合、最初の数時間から数日間の判断が証拠の信用性、事業復旧、当局報告、社内処分、損害賠償請求、保険金請求、対外説明、訴訟対応に影響します。

そのため、フォレンジック調査会社の選定と費用は、単なる外注先選びではありません。企業法務、危機管理、内部統制、サイバーセキュリティ、会計監査、経営判断が交わる重要な意思決定です。

この強調表示は、ページ全体の結論を先に示すものです。読者にとって重要なのは、安価な調査を探す前に、調査目的、証拠保全、費用上限、成果物をそろえておく点です。ここから、発注時に何を最優先で読むべきかを確認できます。

価格の安さだけでは選べません

費用を抑える実務上の近道は、調査を省くことではありません。初期段階で証拠を失わず、調査目的を問いに落とし込み、段階的に範囲を絞り、予算上限・変更管理・成果物をSOWで明確にすることです。

次の比較表は、発注前に整理する5つの問いを示します。どの問いも費用と成果物に直結するため、未整理のまま相談すると広い見積になりやすい点を読み取ってください。

論点実務上の問い
目的設定原因、被害範囲、情報漏えい有無、責任者、再発防止、訴訟証拠、当局報告のうち、何を明らかにしたいかを決めます。
選定技術、法的耐久性、独立性、実績、情報管理、費用透明性を同じ前提で比べます。
費用初動、保全、解析、レビュー、報告書、緊急対応、海外対応の内訳を確認します。
契約NDA、SOW、成果物、証拠管理、再委託、データ削除、費用上限、変更管理を定めます。
ガバナンス依頼者、報告先、取締役会、監査役、外部専門家、保険会社、当局との連携を決めます。
注意個別案件の法的評価や処分方針は、事実関係、証拠、契約、労務、個人情報、海外法の影響で変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
Section 01

フォレンジック調査会社の選定前に知る定義と証拠保全

通常のIT調査との違い、ハッシュ値、証拠管理、調査分野を押さえると、提案内容の良し悪しが見えます。

フォレンジックとは、法廷、鑑識、証拠化に関係する概念です。企業実務では、単なるIT調査やシステム調査ではなく、将来の社内処分、損害賠償請求、刑事告訴、当局報告、監査対応、第三者委員会、訴訟、仲裁、保険金請求、対外公表に耐えられる形で、証拠の同一性、完全性、取得経路、作業履歴、分析根拠を説明できるようにする調査を指します。

通常のIT調査との違いを理解すると、調査会社が復旧だけを見ているのか、証拠価値まで見ているのかを判別できます。次の比較表では、目的、優先順位、作業記録、成果物、関与者の違いを読み取ってください。

比較項目通常のIT調査フォレンジック調査
主目的復旧、障害解消、運用改善を中心にします。証拠保全、事実認定、原因・範囲特定、法的説明を中心にします。
優先順位システム復旧が最優先になりやすいです。証拠を失わない復旧手順を重視します。
作業記録運用記録が中心です。作業ログ、ハッシュ値、Chain of Custodyを重視します。
成果物障害報告書や復旧報告書が中心です。調査報告書、証拠一覧、時系列、再発防止提言を作ります。
関与者情報システム部と既存ベンダーが中心です。法務、外部弁護士、内部監査、CISO、会計士、調査会社が連携します。
証拠価値主目的にならないことがあります。将来の争訟・当局対応を意識します。

次の3つの項目は、調査会社の基礎力を判断するための概念です。読者にとって重要なのは、解析の前に保全方法の説明があるかどうかです。それぞれ、後から改変を疑われないための根拠として読み取れます。

Evidence

証拠保全

電磁的記録が毀損・滅失・改変されないよう、端末、ログ、クラウドデータを適正に保存・管理します。初動で端末を不用意に起動しないことが重要です。

Integrity

ハッシュ値

ファイルやイメージから計算される値により、複製元と複製先の同一性を確認します。報告書に記載されると証拠説明がしやすくなります。

Custody

Chain of Custody

証拠が誰から誰へ、いつ、どの状態で引き渡され、誰がアクセスしたかを記録します。管理の連鎖が弱いと反論を受けやすくなります。

フォレンジック調査は一枚岩ではなく、対象データや目的ごとに専門領域が分かれます。次の表では、自社案件がどの領域に近いかを確認し、候補会社の得意領域と照らし合わせてください。

分野主な対象典型的な目的
コンピュータPC、HDD、SSD、外部媒体操作履歴、削除ファイル、USB接続、ファイル移動、ブラウザ履歴、メール痕跡を確認します。
モバイルスマートフォン、タブレットチャット、通話履歴、写真、位置情報、アプリデータを確認します。
ネットワークFW、IDS、プロキシ、VPN、DNS、EDR侵入経路、横展開、外部通信、C2通信、データ送信痕跡を確認します。
サーバーWeb、DB、AD、ファイルサーバー不正アクセス、権限昇格、情報取得、改ざん、ログ消去を確認します。
クラウドMicrosoft 365、Google Workspace、AWS、Azure、SaaS管理者操作、ログイン履歴、メール転送、共有リンク、ストレージ操作を確認します。
メール・チャットExchange、M365、Gmail、Slack、Teamsなど不正連絡、情報持ち出し、合意形成、贈収賄、ハラスメント、カルテルの痕跡を調べます。
マルウェア解析検体、メモリ、EDR検知データ感染経路、機能、暗号化、情報窃取、持続化、攻撃手口を確認します。
フォレンジック会計仕訳、請求、支払、在庫、経費、銀行取引横領、架空取引、循環取引、粉飾、キックバック、不正会計を調べます。
eディスカバリ大量電子文書、メール、契約、チャット海外訴訟・調査・仲裁における文書収集、処理、レビュー、提出に対応します。
要点ランサムウェアに強い会社、内部不正の端末調査に強い会社、会計不正に強い会社、eディスカバリに強い会社、クラウドログに強い会社は異なる場合があります。選定の第一歩は、自社案件の性質を見誤らないことです。
Section 02

フォレンジック調査会社が必要になる企業法務の場面

サイバー、内部不正、会計、労務、規制、海外対応では、調査の目的と証拠の扱いが変わります。

フォレンジック調査会社が必要になる場面は、技術インシデントだけではありません。次の一覧は、案件類型ごとに調査目的と注意点を並べたものです。読者にとって重要なのは、同じ「調査」でも、漏えい報告、懲戒、損害算定、当局対応、訴訟で必要な深さが違う点です。

IR

不正アクセス・情報漏えい

侵入経路、影響範囲、個人データや営業秘密の外部送信可能性を短期間で整理します。

当局報告本人通知
RW

ランサムウェア

暗号化復旧だけでなく、初期侵入、AD侵害、横展開、データ窃取可能性、再侵入防止を見ます。

復旧調整証拠保全
IP

営業秘密・顧客情報の持ち出し

USB接続、クラウド同期、メール転送、削除ファイル、ブラウザ履歴、印刷履歴を確認します。

退職者対応労務配慮
AC

横領・背任・不正会計

仕訳、請求、支払、承認ログ、メール、チャット、取締役会資料を突合します。

損害算定内部統制
HR

ハラスメント・労務紛争

メール、チャット、勤怠、入退館、PC操作履歴を扱います。過剰収集によるプライバシーリスクにも配慮します。

社内調査二次被害防止
GL

独禁法・贈収賄・海外規制

メール、会議招集、契約、請求、代理店、出張、経費精算、海外データ移転を横断的に扱います。

当局調査多言語対応

個人情報漏えいでは、法定報告の時間軸と技術調査の時間軸が一致しません。次の比較表は、速報、中間、確報、追完の位置づけを示します。期限内に断定できない事項を無理に断定せず、判明事実と不明点を分ける読み方が重要です。

段階目安整理する内容
速報概ね3〜5日以内発覚日時、概要、現時点で判明している対象、初動対応、調査中であることを整理します。
中間調査進行中保全対象、追加判明事項、影響範囲の暫定評価を整理します。
確報原則30日以内合理的努力に基づく原因、影響範囲、漏えい可能性、再発防止策を整理します。
不正目的のおそれ原則60日以内攻撃性が疑われる場合の追加調査、被害拡大、外部送信可能性を慎重に整理します。
追完新事実判明時確報後に判明した事実を追加報告として整理します。

不正アクセスと情報漏えいは同じではありません。不正アクセスの有無、期間、侵害アカウント、アクセス可能だったデータ、実際の閲覧・取得痕跡、外部送信痕跡、ログの限界、漏えい可能性を分けて説明します。

Section 03

フォレンジック調査会社へ依頼する目的と役割分担

「全部調べる」ではなく、問い・対象・成果物・報告先を先に決めると、費用の膨張を抑えやすくなります。

フォレンジック調査会社に相談するとき、多くの企業は「全部調べてください」と言いたくなります。しかし、目的が曖昧な依頼は安全側に広く見積もられやすく、不要な個人情報や機密情報の処理も増えます。

次の表は、調査目的ごとに典型的な問いと成果物を対応させたものです。読者にとって重要なのは、目的が変わると調査対象、期間、報告書の粒度、費用が変わることです。

目的典型的な問い成果物の例
初動判断インシデントか、単なる障害か。緊急遮断が必要かを確認します。初動メモ、トリアージ結果、推奨対応
原因究明侵入経路、不正実行者、マルウェア、設定不備を確認します。時系列、原因分析、侵入経路図
影響範囲特定どの端末、サーバー、アカウント、データが影響を受けたかを確認します。影響範囲一覧、侵害アカウント一覧
情報漏えい有無個人データ、営業秘密、機密情報が外部送信されたかを確認します。外部通信分析、転送履歴、漏えい可能性評価
社内処分誰が、いつ、何をしたか、就業規則違反に関係するかを確認します。行為者別証拠一覧、ヒアリング資料
損害算定横領額、逸失利益、復旧費、通知費用を確認します。損害試算、会計分析、証憑突合表
当局報告個人情報保護委員会、金融庁、警察等へ何を報告するかを整理します。報告書、確報用資料、技術説明資料
訴訟・保全差止、損害賠償、刑事告訴、仮処分に使える証拠かを検討します。証拠保全報告書、陳述書、専門的意見
再発防止何を改善し、どの統制不備を直すかを整理します。再発防止提言、技術対策、統制改善案

調査会社の種類は似た名称でも実態が異なります。次の比較一覧では、会社類型ごとの強みと注意点を整理しています。自社の目的に対して、単独で足りるのか、弁護士・会計士・復旧会社との組み合わせが必要かを読み取ってください。

類型強み注意点
デジタルフォレンジック専業会社PC、スマホ、サーバー、ログの保全・解析に強いです。法務、会計、広報、当局報告は別専門家が必要なことがあります。
サイバーインシデントレスポンス会社ランサムウェア、不正アクセス、封じ込め、復旧に強いです。復旧優先で証拠保全の説明が弱くならないか確認します。
セキュリティ監視・SOC会社EDR、ログ、ネットワーク監視に強いです。事後的な法的証拠化や報告書作成の能力を確認します。
フォレンジック会計チーム不正会計、横領、損害算定、内部統制に強いです。デジタル証拠保全は提携会社対応になることがあります。
eディスカバリベンダー大量文書処理、レビュー支援、海外訴訟に強いです。サイバー攻撃の技術解析は主領域でない場合があります。
危機管理コンサルティング会社調査設計、広報、第三者委員会支援、経営対応に強いです。実際の技術保全は外部専門家依存の場合があります。
大手総合ファームグローバル、会計、法務、IT、危機管理の統合力があります。費用が高額化しやすく、利益相反確認も重要です。
小規模専門会社機動力、専門特化、費用柔軟性があります。大規模案件、24時間対応、海外対応、レビュー体制を確認します。
法務連携企業法務案件では、外部弁護士の指揮の下で調査会社を使う場面が多くあります。従業員の権利、個人情報、通信秘密、労働法、営業秘密、刑事手続、当局報告、訴訟に関係するためです。

既存ITベンダー、復旧会社、調査会社の役割は、同じ会社に任せるか分けるかを検討します。次の判断の流れは、利益相反や証拠改変の疑いを避けるための順番を示します。分岐では、既存ベンダー自身の責任が問題になるかどうかを読み取ってください。

既存ベンダーと調査会社の役割を決める判断の流れ

事案の性質を確認します

障害、侵害、内部不正、会計不正のどれに近いかを整理します。

既存ベンダーの設定・監視・保守が論点になりますか

過去作業の妥当性が調査対象になるかを見ます。

はい
独立した第三者調査を検討します

ログ提供と復旧協力は受けつつ、原因調査は別主体にします。

いいえ
役割分担を明文化します

保全、復旧、報告書、作業ログの責任をSOWに分けて書きます。

Section 04

フォレンジック調査会社の選定基準

10項目を総合評価し、登録リスト、資格、報告書サンプル、独立性、情報管理、初動力を確認します。

フォレンジック調査会社の選定では、単価や知名度だけではなく、案件目的との適合性、証拠保全、報告書品質、独立性、情報管理、プロジェクト管理を同時に評価します。次の表は、選定時に確認する10項目を示します。どの項目が弱いと後工程で困るかを読み取ってください。

評価軸確認ポイント
調査目的との適合性自社案件に必要な技術・法務・会計・危機管理の領域をカバーしているかを確認します。
証拠保全能力ハッシュ値、イメージ取得、作業ログ、Chain of Custody、証拠保管を説明できるかを確認します。
技術領域PC、スマホ、サーバー、AD、クラウド、EDR、メール、ログ、マルウェア、会計データに対応できるかを確認します。
報告書品質調査範囲、根拠、限界、時系列、証拠、再発防止を明確に書けるかを確認します。
法務連携外部弁護士、企業内弁護士、当局報告、訴訟、刑事告訴、第三者委員会に慣れているかを確認します。
独立性・利益相反既存ベンダー、加害疑い者、取引先、監査法人、保険会社との関係を確認します。
情報管理秘密保持、暗号化、アクセス制御、再委託管理、保管・削除、国外移転管理を確認します。
プロジェクト管理24時間対応、初動、定例報告、課題管理、変更管理、経営報告に対応できるかを確認します。
費用透明性単価、前提、上限、追加費用、報告書費用、緊急費、旅費、保管費を明示するかを確認します。
実績・資格類似案件、業界経験、登録制度、資格、ツール、専門家の経歴を確認します。

次の注意要素の一覧は、価格が安くても慎重に扱うべき兆候をまとめたものです。読者にとって重要なのは、調査のやり直し、証拠価値の低下、追加費用につながる兆候を早めに見つけることです。

保全手順を説明できません

ハッシュ値、作業ログ、証拠管理を軽視する場合、後でデータの同一性を説明しにくくなります。

調査範囲と限界を書きません

報告書の用途が重い場面では、確認できた範囲と確認できない範囲の区別が不可欠です。

追加条件が不明です

端末追加、ログ追加、会議、報告書、旅費、緊急費の条件が曖昧だと費用が膨らみます。

情報管理を説明できません

調査会社には顧客データ、従業員情報、営業秘密、役員メールが渡るため、保管と削除の管理が重要です。

利益相反確認に消極的です

既存ベンダーや監査法人の過去業務が問題になる案件では、独立性が調査の信用に影響します。

過度な断定をします

「絶対に漏えいはない」といった断定は、ログ不足や調査限界がある場面では慎重に扱います。

報告書サンプルは、選定前に確認すると効果的です。次の比較表では、良い報告書に含めたい要素を整理しています。調査結果の「言い切り」ではなく、根拠と限界を分ける姿勢を読み取ってください。

報告書で確認する要素見るポイント
目的と範囲何を明らかにする調査か、対象外にした範囲と理由が明確です。
保全方法保全方法、ハッシュ値、作業ログ、証拠管理が説明されています。
ログの期間と限界使用したログの期間、種類、保存状態、欠落範囲が示されています。
事実と評価の区別確認事実、推測、法的評価に関係する前提、調査上の限界が分かれています。
時系列初期侵入、被害拡大、外部通信、対応履歴が時系列で追えます。
再発防止抽象論ではなく、設定、運用、統制、期限、責任者に落ちています。
公的リスト情報セキュリティサービス基準や適合サービスリストは選定の入口情報として有効です。ただし、掲載だけで特定案件への適合性、費用妥当性、独立性、報告書品質、24時間対応力が保証されるわけではありません。
Section 05

フォレンジック調査会社の費用相場と料金体系

小規模な端末調査から大規模インシデントまで、費用は数万円台から数千万円以上まで大きく変動します。

フォレンジック調査の費用は、端末1台の限定調査では数万円〜数十万円から見積もられることがある一方、ランサムウェア、不正アクセス、情報漏えい、会計不正、海外訴訟、第三者委員会では数百万円〜数千万円以上となることがあります。

次の比較グラフは、公開資料に出てくる代表的な金額感を相対的に示します。高さは大きい金額ほど上に伸びる見せ方です。読者は、中央値・標準的な中小規模・最大試算の間に大きな幅があることを読み取ってください。

275万
攻撃疑い中央値
300〜400万
PCとサーバー数台
825万
特定試算の最大値

次の表は、案件規模ごとの目安を実務で使いやすい形に整理したものです。個別見積では対象台数、容量、ログ保存、クラウド、緊急度、報告書用途が変動要素になるため、表の金額を固定価格として扱わない点が重要です。

案件規模・内容目安注意点
端末1台の簡易確認数万円〜数十万円法的報告書、緊急対応、複数媒体、クラウド、弁護士連携は別費用になりやすいです。
端末1台の詳細調査数十万円〜150万円程度削除データ復元、証拠データ納品、詳細報告書の有無で変動します。
ログ解析・メール調査数十万円〜100万円超ログ量、対象期間、システム数、メール件数、レビューの深さで変動します。
PCとサーバー数台のインシデント調査概ね300万〜400万円初動対応とフォレンジック調査を合わせた目安です。
サイバー攻撃疑いの中小企業シナリオ中央値275万円、最大825万円特定シナリオの試算であり、個別案件の保証ではありません。
ランサムウェア調査200万〜1,000万円以上の例AD侵害、横展開、データ窃取可能性、復旧調整が重なると上がります。
大規模インシデント数千万円以上端末数、ネットワーク内挙動、海外拠点、報告書用途で大きく変わります。
不正会計・第三者委員会・海外対応数百万円〜数千万円以上会計分析、弁護士レビュー、ヒアリング、翻訳、海外データ処理が重なります。

費用の内訳は、総額だけでは判断できません。次の表は費目と変動要因を並べています。見積書では、何が含まれ、何が別費用かをこの順番で確認してください。

費目内容費用を左右する要因
初動相談・トリアージ事案把握、緊急度判断、保全指示、封じ込め方針を整理します。休日夜間、緊急派遣、会議回数、専門家人数
証拠保全PC、サーバー、スマホ、ログ、クラウドデータを保全します。台数、容量、暗号化、遠隔地、クラウド権限、停止可否
データ取得・処理イメージ取得、コピー、インデックス化、重複排除を行います。容量、ファイル数、形式、破損データ
解析操作履歴、削除データ、マルウェア、ログ、外部通信を調べます。調査仮説、ログ保存期間、EDR有無、攻撃の複雑性
文書レビューメール、チャット、契約、会計資料を確認します。件数、言語、弁護士レビュー、秘匿特権判定、AI利用
報告書作成技術報告、経営報告、当局報告、裁判対応の資料を作ります。詳細度、用途、ドラフト回数、証拠添付、英訳
データ保管・ホスティング調査データ、レビュー基盤、証拠を保管します。容量、期間、セキュリティ要件、国外保管可否

料金体系は、固定料金、時間単価、台数単価、データ量単価、フェーズ別、リテイナー、成果物別に分かれます。次の表では、予算化しやすさと追加費用のリスクを読み取ってください。

料金体系内容メリット注意点
固定料金端末1台、特定メニュー、初期調査などを定額化します。予算化しやすいです。範囲外作業が多いと追加費用が発生します。
時間単価専門家の稼働時間に単価を掛けます。複雑案件に柔軟です。上限管理がないと膨らみやすいです。
台数単価PC、サーバー、スマホ1台あたりで計算します。対象機器が明確なら分かりやすいです。容量や複雑性を反映しない場合があります。
データ量単価GB、TB、メール件数、文書件数で計算します。eディスカバリやホスティングに向きます。レビュー費用は別途大きくなることがあります。
フェーズ別初動、保全、解析、報告書を段階契約にします。費用管理しやすいです。フェーズ間の成果物と判断基準を明確にします。
リテイナー平時契約で緊急対応枠を確保します。初動が速くなります。未使用分、対応範囲、優先順位を確認します。
比較方法同じ「PC3台の調査」でも、完全イメージ取得、ハッシュ値、削除データ復元、クラウド、詳細報告書、弁護士会議、緊急対応、保管費が含まれるかで見積は大きく変わります。
Section 06

フォレンジック調査会社の費用が高くなる要因と抑え方

調査範囲、ログ不足、クラウド、緊急対応、報告書用途、人手レビュー、海外対応が費用を押し上げます。

費用を最も左右するのは対象範囲です。端末数、サーバー数、クラウドサービス数、ログ種類、対象期間、対象者数、メール件数、チャット件数、会計データ量が増えるほど費用は増えます。

次の注意要素の一覧は、費用が上がりやすい代表要因を示します。読者にとって重要なのは、見積の高低だけではなく、なぜ工数が増えるのかを理解し、事前準備で減らせる要因と減らせない要因を分けることです。

対象範囲が広いです

Webサーバー1台の問題に見えても、VPN、AD、ファイルサーバー、バックアップ、クラウド、管理者PCに広がることがあります。

ログが不足しています

ログがない、短い、時刻がずれている場合、端末痕跡や外部サービスログから間接的に確認するため工数が増えます。

クラウド証拠が取りにくいです

監査ログの保存期間、管理者権限、API制限、国外リージョン、データ移転規制が調査の難度に影響します。

緊急対応が必要です

夜間・休日・連休中の即時アサイン、移動、複数チーム投入、24時間体制は通常対応より高額になります。

報告書の用途が重いです

取締役会、監査役会、第三者委員会、裁判所、当局、保険会社に使う場合、根拠と限界の記載が厚くなります。

人によるレビューが多いです

メール、チャット、証憑、秘匿特権、文脈判断は専門家の確認が必要になりやすく、費用が増えます。

費用を抑える実務的な方法は、調査を段階化することです。次の時系列は、初動から事後改善までを分ける考え方を示します。各段階で継続判断を置くことで、必要な範囲に費用を集中させられます。

フェーズ0

初動相談と証拠破壊防止

緊急封じ込め、端末利用停止、ログ上書き防止、対象候補の整理を行います。

フェーズ1

重要対象の保全と仮説整理

重要端末、ログ、クラウドデータを保全し、本格調査へ進むか判断します。

フェーズ2

原因・範囲・漏えい可能性の分析

中間報告と時系列を作り、追加対象を広げる必要があるかを判断します。

フェーズ3

法的・会計的評価と報告書

最終報告書、再発防止策、当局・訴訟・社内処分の資料を整えます。

フェーズ4

事後改善と平時体制への移行

改善計画、訓練、監査、ログ保持設計を行い、次の危機に備えます。

調査対象は「メールを全部見る」ではなく、問いから逆算します。次の一覧は、問いに変換した例を示します。読者は、対象期間、対象データ、検索条件を絞るほど、費用とプライバシーリスクを管理しやすくなる点を読み取ってください。

Leak

外部送信の有無

「顧客リストAが特定期間に外部送信されたか」のように、対象データと期間を絞ります。

Device

USB接続とファイル操作

「退職者Xが設計データをコピーしたか」のように、端末、フォルダ、操作履歴を特定します。

Attack

侵入経路

「攻撃者はVPNから入ったのか、Web脆弱性から入ったのか」のように仮説を分けます。

DB

個人データへのアクセス

「DBへの大量SELECTやエクスポート痕跡があるか」をログと権限から確認します。

Money

実在取引か

「取引先Yへの支払は実在取引に基づくか」を会計証憑と通信履歴で突合します。

Board

役員の認識

「役員Zは不正を知っていたか」を会議資料、メール、承認ログから慎重に確認します。

社内で先に行う作業は、証拠を壊さない範囲に限定します。次の比較表では、実施してよい対応と慎重に扱う対応を分けています。費用削減のための社内対応が、後の追加費用を招かないように読むことが重要です。

行ってよい対応慎重に扱う対応
端末の利用停止を指示します。PCを再起動します。
ネットワークから隔離します。ウイルススキャンで駆除します。
画面やエラーメッセージを写真で記録します。ファイルを開く、コピーする、削除する作業を行います。
関係者、時刻、発見経緯をメモします。ログを手作業で加工します。
ログ保存期間を確認し、上書き防止を依頼します。加害疑い者本人に端末操作をさせます。
証拠候補の所在を一覧化します。私用端末や個人アカウントを無断で取得します。
予算管理時間単価型では、フェーズごとの上限、上限80%到達時の通知、追加作業の事前承認、緊急措置の例外条件、報告書・旅費・保管費の扱いをSOWに入れると費用の予見可能性が高まります。
Section 07

フォレンジック調査会社の見積書・SOW・報告書の読み方

一式見積を分解し、作業範囲、成果物、除外事項、データ管理、配布範囲を契約で固定します。

見積書を受け取ったら、総額ではなく前提条件と除外事項を確認します。「フォレンジック調査一式」とだけ記載されている場合、初動、保全、解析、報告書、会議、保管費、旅費、クラウド、スマホが含まれているか分かりません。

次の表は、見積書で必ず確認する項目を整理したものです。読者にとって重要なのは、追加費用が出る場所と、成果物として残るものを同時に確認することです。

確認項目確認すべき質問
調査目的この見積は何を明らかにするためのものかを確認します。
対象範囲対象端末、ログ、クラウド、メール、期間、対象者が明記されているかを確認します。
除外事項スマホ、クラウド、削除データ復元、報告書、報告会、旅費が除外されていないかを確認します。
成果物最終報告書、証拠データ、ハッシュ値、作業ログ、時系列が含まれるかを確認します。
単価時間単価、台数単価、GB単価、報告書単価、緊急費が明示されているかを確認します。
追加費用追加端末、追加期間、追加会議、翻訳、専門家会議の費用を確認します。
スケジュール保全開始、中間報告、最終報告の時期が明確かを確認します。
データ管理データ保管場所、削除、返却、再委託が明確かを確認します。

SOWは作業範囲記述書です。次の表では、SOWに入れる項目を並べています。背景、目的、対象、作業、成果物、費用、変更管理、情報管理を一つずつ確認し、後日の範囲追加と責任分担の争いを防ぐ読み方が重要です。

項目内容
背景事案の概要、発覚経緯、緊急度を記載します。
目的原因究明、影響範囲、漏えい有無、証拠化、再発防止などを記載します。
対象端末、サーバー、クラウド、ログ、メール、対象者、期間を記載します。
作業保全、取得、解析、レビュー、報告書、報告会を記載します。
除外事項スマホ、海外拠点、翻訳、証言、復旧作業などを記載します。
成果物中間報告、最終報告書、証拠一覧、ハッシュ値、作業ログを記載します。
費用上限、単価、実費、追加費用、支払条件を記載します。
変更管理範囲追加・費用追加の承認手続を記載します。
情報管理秘密保持、アクセス制御、暗号化、再委託、保管場所を記載します。
返却・削除調査終了後の扱い、削除証明、証拠保管例外を記載します。

調査報告書は、提出先によって粒度を変えます。次の一覧は、同じ事実を用途別に分ける考え方を示します。読者は、配布範囲を広げすぎると機密性や個人情報保護上のリスクが高まる点を確認してください。

Legal

外部弁護士・法務部向け詳細版

証拠、限界、法的評価に関係する前提を厚く記載します。配布先を限定します。

Board

経営会議・取締役会向け要約版

意思決定に必要な事実、リスク、費用、再発防止策を分かりやすく整理します。

Authority

当局報告用資料

速報・確報で求められる項目に合わせ、判明事実と不明点を分けます。

Customer

顧客・取引先説明資料

技術的詳細を過度に出しすぎず、影響範囲、対応状況、再発防止を整理します。

Insurance

保険会社向け資料

事故状況、費用、復旧、調査範囲、損害との関係を説明します。

Improve

社内改善用資料

設定、ログ、権限、委託先管理、教育、監査の改善計画に落とし込みます。

情報漏えい案件では、「漏えいなし」と書けるかが問題になります。次の比較表では、慎重な表現と危険な表現を分けています。根拠のない断定は、後日新事実が出た場合に信頼を損なう可能性があります。

慎重な表現避けたい表現
調査対象ログの範囲では、外部送信を示す痕跡は確認されませんでした。漏えいは絶対にありません。
当該期間以前のログは保存されておらず、当該期間は評価できません。ログがないため問題はありません。
対象DBのアクセスログからは、大量エクスポートを示す操作は確認されませんでした。アクセス可能だっただけなので通知は不要です。
管理者権限の範囲から、理論上アクセス可能だったデータがあります。証拠が出ていないため影響はありません。
再発防止「セキュリティを強化します」では足りません。MFA必須化、共有アカウント廃止、ログ保存180日、SIEM集約、委託先契約の事故報告期限、監査権など、期限・責任者・検証方法まで落とします。
Section 08

フォレンジック調査会社の案件類型別の選び方

ランサムウェア、退職者持ち出し、個人情報漏えい、不正会計、第三者委員会、海外対応で選定軸を変えます。

案件類型によって、必要な専門性と費用設計は変わります。次の一覧は、主要な類型ごとに必要能力と注意点をまとめたものです。読者は、自社案件に近い行を起点に、必要な会社類型と外部専門家の組み合わせを確認してください。

RW

ランサムウェア案件

封じ込め、AD・VPN・EDR解析、マルウェア解析、データ窃取可能性、バックアップ復旧、警察・JPCERT/CC・保険対応を見ます。

200万〜1,000万円以上の例24時間対応
EX

退職者の情報持ち出し

PCイメージ、USB接続、ファイル操作、削除データ、メール、クラウド、ブラウザ、同期アプリ履歴を確認します。

数十万円から私的領域に注意
PI

不正アクセス・個人情報漏えい

Web、DB、WAF、FW、VPN、認証ログ、外部送信痕跡、対象個人データの範囲を確認します。

300万〜800万円程度の例速報と確報
FA

不正会計・横領・キックバック

会計データ、証憑、支払、メール、チャット、稟議、承認ログ、損害額、内部統制を統合して見ます。

数百万円以上会計士連携
TP

第三者委員会・特別調査委員会

独立性、中立性、説明責任、報告書根拠、大量メールレビュー、会計分析、ヒアリング支援が重要です。

公表対応役員関与
CB

クロスボーダー・eディスカバリ

現地法務、多言語処理、国外データ移転、秘匿特権レビュー、海外訴訟・国際仲裁への説明を見ます。

海外法務データ移転

次の表は、案件類型別の概算レンジと高額化要因を整理しています。金額は公開情報と実務上の整理に基づく目安であり、実際には対象範囲、ログ保存、海外要素、報告書用途で変わる点を読み取ってください。

シナリオ概算レンジ高額化要因
退職者の持ち出し疑い最小50万〜100万円程度、標準100万〜250万円程度、複雑300万円以上スマホ、私用アカウント、複数関係者、削除データ復元、仮処分・訴訟用報告書
Webサイト不正アクセスと顧客情報漏えい疑い初動100万〜300万円程度、標準300万〜800万円程度、大規模1,000万円以上ログ不足、複数脆弱性、横展開、個人データ範囲の特定、顧客説明
ランサムウェア小規模300万〜700万円程度、中規模700万〜1,500万円程度、大規模2,000万円以上AD侵害、バックアップ暗号化、営業秘密窃取、休日発覚、再侵入防止
不正会計・キックバック限定300万〜800万円程度、標準800万〜2,000万円程度、複雑2,000万円以上大量メール、紙証憑、海外送金、役員関与、公表用報告書

内部不正では、ヒアリング前の保全が特に重要です。次の判断の流れは、疑いを伝える前にどこまで証拠を押さえるかを整理するものです。分岐では、私物端末や私的アカウントに踏み込む前に法的検討が必要な点を確認してください。

内部不正の保全とヒアリングの順番

会社貸与端末と業務アカウントを把握します

PC、メール、チャット、ファイルサーバー、クラウド、入退館、印刷ログを整理します。

ヒアリングで証拠削除のリスクがありますか

関係者がメール削除、クラウド削除、チャット退出を行う可能性を検討します。

はい
先に業務領域を保全します

弁護士等と相談し、会社管理下の証拠を適法な範囲で保全します。

いいえ
調査計画を説明可能にします

対象者、期間、検索語、プライバシー配慮、反論機会を整理します。

クロスボーダーやクラウドでは、国内端末を保全するだけでは足りないことがあります。次の比較表では、クラウドと海外対応で契約前に確認する項目を示します。取得できないデータの限界を報告書に書けるかを重視してください。

領域契約前に確認する項目
クラウド証拠対象SaaS・IaaS・PaaSの調査経験、監査ログ取得手順、管理者権限、ハッシュ値、ログ保存期間、CSPサポート連携を確認します。
海外子会社現地法務チーム、多言語処理、国外データ移転、現地保全パートナー、タイムゾーン対応を確認します。
eディスカバリリーガルホールド、メタデータ、重複排除、秘匿特権レビュー、提出形式に最初から対応できるか確認します。
会計不正仕訳、請求、支払、取引先マスタ、メール、承認ログ、取締役会資料を統合できるか確認します。
Section 09

フォレンジック調査会社の評価表・RFP・初動チェック

緊急時に迷わないよう、評価配点、初回相談前の確認事項、RFP質問、予算モデルを平時から準備します。

次の横方向の長さは、100点満点の評価表における配点の大きさを表します。配点が大きい項目ほど、選定時の影響が大きい点を読み取ってください。費用透明性だけでなく、証拠保全と技術能力が同じく重いことが分かります。

証拠保全
15点
技術能力
15点
目的適合
10点
法務連携
10点
独立性
10点
情報管理
10点
費用透明性
10点
説明力
5点
残り15点は、プロジェクト管理10点、実績・資格5点として評価します。

初回相談前には、事案概要、技術情報、証拠候補、法務・ガバナンス、予算・契約を整理します。次の一覧は、相談前の準備を5つに分けたものです。読者は、証拠を操作せず、情報だけを集める範囲を確認してください。

Case

事案概要

発覚日時、発見者、発見経緯、業務影響、既に行った対応、関係部署、想定される法的論点を整理します。

System

技術情報

対象システム、端末・サーバー台数、クラウド、ネットワーク構成、ログ保存期間、EDR、VPN、バックアップを整理します。

Evidence

証拠候補

PC、スマホ、外部媒体、メール、チャット、ファイルサーバー、会計、勤怠、入退館、印刷、録音、契約書を整理します。

Governance

法務・ガバナンス

外部専門家、取締役会、監査役会、当局報告、顧客通知、労務、刑事告訴、保険、公表の可能性を整理します。

Budget

予算・契約

緊急発注権限者、稟議、予算上限、基本契約、NDA、保険会社指定ベンダー、利益相反を整理します。

RFPでは、会社・体制、技術・証拠保全、法務・会計・報告書、情報管理、費用、独立性を質問します。次の表では質問群を要約しています。提案を横並びにするため、全社に同じ質問を投げる点を読み取ってください。

質問群確認する内容
会社・体制サービス範囲、担当者の経歴・資格、24時間対応、海外対応、再委託管理を確認します。
技術・証拠保全PC、サーバー、スマホ、クラウド、メール、チャットの保全手順とハッシュ値管理を確認します。
法務・会計・報告書弁護士指揮下の経験、当局・警察・保険対応、不正会計、報告書サンプルを確認します。
情報管理国内外の保管場所、暗号化、アクセス制御、多要素認証、削除証明、事故通知を確認します。
費用初動、保全、解析、報告書、報告会、PM、実費、緊急割増、上限管理を確認します。
独立性自社、子会社、既存ITベンダー、監査法人、主要取引先との関係を確認します。

費用は、総費用を分解して考えます。次の強調表示は、予算モデルの基本式を示します。どの費目が増えたかを追うことで、追加見積の理由を説明しやすくなります。

総費用 = 初動費 + 証拠保全費 + データ処理費 + 解析費 + レビュー費 + 報告書費 + PM費 + 実費 + 追加対応費

証拠保全費は対象台数と現地作業で増え、データ処理費は容量で増え、レビュー費は文書件数と専門家時間で増えます。報告書費は用途とドラフト回数で変わります。

緊急時の最初の30分は、証拠を守る行動に集中します。次の時系列は、最初に行うことを順番に示します。読者は、公表や通知を急ぐ前に、判明事実と不明点を分ける必要があることを確認してください。

0〜5分

発見時刻と画面を記録します

発見者、通知内容、画面表示、既に行った操作を記録します。

5〜10分

むやみに再起動・初期化しません

暗号化や外部通信が進行中の機器は、状況に応じて隔離を検討します。

10〜15分

証拠候補端末に触らせません

対象端末の利用を止め、ログ保存期間と上書き防止を確認します。

15〜25分

関係者を限定して連絡します

法務、CISO、情報システム、経営、個人情報保護担当へ必要最小限で共有します。

25〜30分

外部専門家へ同時に相談します

外部弁護士とフォレンジック調査会社に相談し、判明事実と不明点を区分します。

平時には、初動連絡網や候補会社だけでなく、ログ保存一覧やデータ分類表も準備します。次の一覧は、社内文書を目的別に整理したものです。危機発生時に探す資料を減らすことが、費用と時間の節約につながります。

分類準備する文書
危機対応インシデント対応規程、初動連絡網、候補会社リスト、外部専門家リスト、サイバー保険証券と連絡先
システム重要システム一覧、ログ保存一覧、クラウドサービス一覧、委託先一覧、ネットワーク構成図
データ管理データ分類表、個人情報台帳、営業秘密管理規程、証拠保全手順書
人事・内部通報端末貸与規程、BYOD規程、内部通報規程、懲戒規程
報告取締役会・監査役会報告テンプレート、個人情報漏えい報告テンプレート、顧客・取引先通知テンプレート、メディア想定問答
FAQ

フォレンジック調査会社の選定と費用でよくある質問

一般的な制度・実務情報として整理します。個別事情によって結論は変わります。

フォレンジック調査会社はどこでも同じですか

一般的には、同じではないとされています。端末調査、ランサムウェア、クラウド、会計不正、eディスカバリでは必要な専門性が異なります。ただし、案件目的や証拠状況によって適切な体制は変わります。具体的な選定は、目的と資料を整理したうえで弁護士等の専門家へ相談する必要があります。

費用が安い会社を選ぶのが合理的ですか

一般的には、安い見積が直ちに不適切とは限らないとされています。ただし、証拠保全、報告書、法務連携、情報管理、追加費用が抜けている場合、後で再調査が必要となる可能性があります。個別事情によって判断が変わるため、同じ前提で比較する必要があります。

社内IT部門が先に調べれば費用を抑えられますか

一般的には、社内IT部門の初動記録や隔離は重要とされています。一方で、再起動、初期化、ファイル操作、ログ加工などにより証拠価値が下がる可能性があります。具体的な対応範囲は、事案の緊急度と証拠状況に応じて専門家へ相談する必要があります。

ログがあれば必ず調査できますか

一般的には、ログがあっても、期間が短い、時刻がずれている、必要項目がない、攻撃者に消されている、形式が解析困難といった限界があり得るとされています。調査可能性はログの種類、保存期間、取得方法で変わります。

フォレンジック調査で漏えい有無を必ず断定できますか

一般的には、必ず断定できるわけではありません。ログ欠落、暗号化通信、権限侵害、クラウド監査ログの制約などにより、確認できた範囲と確認できない範囲が分かれる可能性があります。報告書では根拠、推定、限界を分ける必要があります。

調査会社に任せれば法務対応も終わりますか

一般的には、フォレンジック調査は事実認定の重要な材料ですが、法的評価、当局報告、本人通知、懲戒、訴訟、開示、公表の判断を代替するものではないとされています。具体的な対応方針は、経営、法務、広報、個人情報保護担当、弁護士等の専門家が連携して検討する必要があります。

大手会社なら必ず安心ですか

一般的には、大手には総合力やグローバル対応力がある一方、費用や担当チームの適合性を確認する必要があるとされています。小規模専門会社にも機動力や専門性があります。会社名だけでなく、担当者、実績、独立性、報告書品質、費用透明性で比較する必要があります。

復旧会社が調査報告書も作れば十分ですか

一般的には、復旧と証拠保全は目的が異なるとされています。復旧会社が報告書を作ること自体はあり得ますが、証拠保全、作業ログ、利益相反、法的耐久性、報告書用途を確認する必要があります。具体的には弁護士等の専門家に相談する必要があります。

Reference

参考資料

公的機関、標準化機関、専門団体、実務資料を中心に整理しています。

公的機関・標準化機関

  • NPOデジタル・フォレンジック研究会「証拠保全ガイドライン」
  • National Institute of Standards and Technology「SP 800-86, Guide to Integrating Forensic Techniques into Incident Response」
  • National Institute of Standards and Technology「SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management」
  • National Institute of Standards and Technology「SP 800-92, Guide to Computer Security Log Management」
  • National Institute of Standards and Technology「SP 800-101 Rev. 1, Guidelines on Mobile Device Forensics」
  • 個人情報保護法サイバーセキュリティ連絡会「不正アクセス発生時のフォレンジック調査の有効活用に向けた着眼点」
  • 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 経済産業省「情報セキュリティサービス基準審査登録制度」
  • IPA「情報セキュリティサービス基準適合サービスリスト」
  • IPA「情報セキュリティ10大脅威」
  • JPCERT/CC「高度サイバー攻撃への対処におけるログの活用と分析方法」

費用・不正調査・ガバナンス

  • JNSA「インシデント損害額調査レポート」
  • IPA掲載資料「サイバーセキュリティお助け隊事業 成果報告書」
  • Association of Certified Fraud Examiners「Occupational Fraud」
  • 日本弁護士連合会「企業等不祥事における第三者委員会ガイドライン」
  • 法律実務解説(フォレンジック調査費用と期間に関する解説)
  • デジタル調査実務解説(端末調査料金に関する解説)