昨日のセミナーでは、フォレンジックに必要な時間とコストについても言及されていました。
フォレンジックというか追跡調査には非常に長い時間がかかりますが、それが結果的にコストを上げることになっているのではないか？、調査時間が短くなればコストを下げることが可能では〜といった趣旨だったかと思います。
これは確かにその通りで、追跡に必要な情報が迅速に収集・解析されれば社内にイヤな雰囲気が漂う期間も短くできるかもしれませんね。*1
問題は実際に追跡を開始した際に、必要なデータが迅速に収集できるか？という点でしょうかね。調査や解析で必要とするデータがすんなり集まらないので、調査対象が広くなり・収集されるデータも増える。結果的にそれを解析するのに時間がかかり膨大な費用が必要になる。*2

取得しているログなどが、本当に追跡の役に立つのかは追跡してみないとわかりません。調査に必要な情報が取れているか、体制が整っているかは実際にやってみないとわからないんです。

まぁ、一度自分のところで追跡できるのかテストしてみるといいですよね、防災訓練みたいに。そいう際に必要なチェック項目がまとまっている資料があると便利なんですかねぇ。
いずれにせよ、事前対策にかけるコストのほうがよっぽど安上がりなんですよね。