Philipの会社はある種のウェブサイトを遮断したりウェブアクセスを監視したりはしていないが、PCにインストールされているソフトウェアやOS、コンフィギュレーション、ハードウェア情報、ネットワークにログオンしている間のインターネットアクセス履歴を監視する「Audit Wizard」というプログラムを使用している。PhilipがAudit Wizardを起動し、インターネットアクセス履歴のレポート出力を行ったところ、彼のPCから行われたアクセスとしてウェブサイトがずらっと表示された。その様子はまるで彼を非難するかのようだったが、Audit Wizardはその時間帯に彼のPCにログオンしていた人物が誰であったのかについて何の情報も表示してはくれない。
PhilipはAudit Wizardのレポートとウェブ閲覧履歴の画面を印刷した後、金曜日の夜6時から9時の間に彼のPCにログオンしていた人物を特定する決定的な証拠を探し始めた。しかし、彼は自分のPC上では何も見つけることができなかったうえにネットワークに関しては管理者アクセス権限を持っていなかったので、その調査を完了することもできなかった。
Philipはもう、何かできることがあったとしてもそれすらわからない状態だ。社内でネットワークの管理者権限を持っているのはあの上司だけであることに加えて、彼はその会社での経験が短すぎて、自分のとる行動が会社にどう受け取られるかを判断することができないのだ。彼は上司と対峙すべきだろうか?それとも、この問題を人事部門に持ち込むべきか、あるいは単に証拠を抹消してまったく何もなかったことにすべきだろうか?また同じことが起こったらどうすればよいのだろうか?誰か他の人が、Philipには削除権限のないAudit Wizardの履歴データを見てしまったらどうなるのだろうか?そのようなことが起こった場合の自己防御策として、Philipが人事部門に証拠を提示するということは、自分が解雇されるリスクを冒すことにしかならないのだろうか?Philipは、自分の上司と人事担当部門のマネージャーがよく一緒に昼食をとる仲だということを知っている。彼は新入りであり、どのようにことを進めるべきか見当もつかないのだ。
あなたなら、Philipの置かれているような状況にどう対処するだろうか。Philipに対してアドバイスができる、あるいは過去に自分も同様の状況を経験したという方々からいただいた意見を紹介しよう。
IT担当者はこの後、何をすべきか?
回答者のほとんどは、この問題には児童ポルノの嫌疑があるため、IT担当者は道義的にも法的にもそれをしかるべきところに通報する責任を負っているという意見を寄せてくれた。そして、それができない場合であっても、IT担当者は少なくとも以下に挙げるような方法ですぐに証拠保全を行うべきであるという意見であった。
- 該当PCのディスク内容を複製保存する
- 自分の見つけたことすべてを文書として書き残す
- 関連するすべてのログとスクリーンショットを印刷する
- 証拠を破壊してしまわないよう、該当PCの使用をとりやめる