不正アクセスが疑われたらまず考えてほしいこと 〜 証拠を守る初動のコツ

日々の業務の中で、「パソコンの動きがいつもと違う」「ウイルス感染かも？」といった不安に直面することはあります。

そんな時、思わず

• とりあえず再起動

• ウイルススキャンをすぐに実行

• 故障だと思って初期化

といった対応をしてしまいがちです。

しかし、こうした行動がその後の調査や対応を難しくすることがあるのをご存じでしょうか？

証拠保全って何？

証拠保全とは、

不正アクセスや被害の調査では、

いつ／どこから／どのアカウントで／何が行われたか

という情報が、ログやシステムの状態として残っています。

再起動や初期化は、これらの“手がかり”を消してしまう可能性があります。

フォレンジック調査って何？

ここで出てくる専門用語に 「フォレンジック調査」 という言葉があります。

「何のこと？」と思われる経営者の方もいるでしょう。

フォレンジック調査とは、

イメージとしては、ITの現場で行われる“現場検証”のようなものです。

この調査が意味のある結果になるかどうかは、

初動でどれだけ証拠が残るかに大きく影響します。

よくある初動対応がなぜリスクになるのか

以下の対応は、証拠を消してしまう可能性があります。

やってはいけないこと

• 電源オフ／再起動

• 初期化やOS再インストール

• 独断で復旧作業

理由はシンプルです。

「いつ・どこで・どのように侵入したのか」を示す

データが消えてしまうかもしれないからです。

初動でやってよいこと

初期対応として、次のような行動は被害拡大を防ぎつつ証拠を守る効果があります。

• ネットワークから切り離す（LANケーブルを抜く／Wi-Fiをオフ）

• 異常発生時の状況を記録する（日時・気づいた人・症状など）

• 早めに専門家に相談する

「止めること」と「触ること」は別物です。

触らずに状況を変えない選択が、後から状況を正しく把握するための助けになります。

証拠保全は「会社を守るため」の行為

証拠保全は、単に調査会社のためだけの話ではありません。

• 経営判断のための正確な情報

• 取引先／顧客への説明

• 再発防止策の検討

こうした局面で、根拠ある情報があるかどうかで結果が大きく変わります。

事前に決めておきたいポイント

特にIT担当者がいない会社では、次の点を決めておくと対応がスムーズです。

• 異常を感じたら誰に連絡するか

• 触ってよい人・触らない人のルール

• 専門家に相談する判断基準

これだけでも、初動対応の質は大きく改善します。

まとめ

• 再起動や初期化は証拠を消す可能性がある

• 証拠保全は「調べられる状態」を残すこと

• フォレンジック調査は、ITの現場検証

• 最初の対応が、その後の選択肢を左右する

まずは相談してください

「どう対応すればいいか分からない」

という状況は決して恥ずかしいことではありません。

初動対応の判断や証拠保全の考え方について、お気軽にご相談ください。

※ 参考資料：

• データ関係省庁等との連携 ｜個人情報保護委員会https://www.ppc.go.jp/personalinfo/interagency_cooperation/
  

• 不正アクセス発生時のフォレンジック調査の有効活用に向けた着眼点（令和８年１月16日） 個人情報保護法サイバーセキュリティ連絡会 https://www.ppc.go.jp/files/pdf/260116_forensics_keypoints.pdf