証拠保全ガイドライン(第7版)
発行機関:デジタル・フォレンジック研究会
発行年月日:2018年7月20日
フォレンジックとは
フォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の技術を言います。
フォレンジックの重要性とガイドラインの目的
ICTの活用が進むにつれて個人や企業、または国をまたいでの法的紛争が発生し、電磁的記録の証拠保全及び調査・分析を適切に行い、行動の正当性を積極的に検証するフォレンジック技術の重要性が高まっています。
フォレンジックのプロセスは、NIST SP800-86にもあるように、「収集」、「検査」、「分析」、「報告」の段階があります。
https://www.ipa.go.jp/files/000025351.pdf
収集
関連するメディアに対して、適切な⼿順に従って「証拠保全」がなされます。同時にメディアの完全コピーも実施します。データ解析は、この完全コピーに対して実施します。
検査
検査ではデータの完全性を保護しながら情報を抽出します。抽出する情報には、各ファイルが持ち合わせるタイムスタンプを元にしたタイムライン情報や、レジストリ解析等によるプロセス実⾏時刻、削除されてしまったファイルの復元等も含まれます。
分析
検査結果を分析することで、調査目的に応じた情報を探し出す作業です。
報告
報告は分析で得られた情報を元に調査結果を整理する過程です。
フォレンジックは、上記のプロセスにあるように、証拠保全、データ解析、関連情報の抽出、報告までの一連の行為であり、このガイドラインでは、主に、「取得の対象となるデータはどの範囲であるべきか」、「保全した証拠の原本同一性の保証はどの程度確実にするべきか」の課題に対して対応できるための指針を公開しています。
フォレンジックに関連する言葉
証拠保全の一貫性 Chain of Custody
証拠物の保管、出納に関しては、記録を取り、管理を適正に行うことが求められる。犯罪捜査規範第117 条では、「事件の捜査が長期にわたる場合においては、領置物は証拠物件保存簿に記載して、その出納を明確にしておかなければならない」と規定している。
スラック領域
メモリのスラック領域は、ファイルのスラック領域よりはるかに不確定である。たとえば、OS は一般にページやブロックと呼ばれる単位でメモリを管理し、それらを要求するアプリケーションに割り当てる。場合によっては、アプリケーションがメモリ単位をまるごと1つ分要求していないくても、1つのメモリ単位がアプリケーションに割り当てられることがある。このため、アプリケーションに割り当てられたメモリ単位のなかに、そのアプリケーションからは利用できないながらも残存データが存在する可能性がある。一部の OS では、パフォーマンスや効率を考慮して、割り当てるメモリ単位のサイズを変えている。その場合は、メモリのスラック領域が小さくなりやすい。