HOME»ITパスポート用語辞典»テクノロジ系»ディジタルフォレンジックス

ITパスポート試験 用語辞典

ディジタルフォレンジックス
【Digital Forensics】
不正アクセスや情報漏えいなどのセキュリティインシデントの発生時に、原因究明や法的証拠を保全するために対象となる電子的記録を収集・解析すること。
分野:
テクノロジ系 » セキュリティ » 情報セキュリティ対策・実装技術
重要度:

(Wikipedia コンピュータ・フォレンジクスより)

コンピュータ・フォレンジクス(computer forensics)は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学の一分野である。コンピュータ法科学()とも呼ばれる。
コンピュータ・フォレンジクスの目的は、コンピュータ・システム自身やハードディスクドライブまたはCD-ROMのような記録媒体、電子文書中のメッセージやJPEG画像のような、デジタル製品の最新の状態を明らかにすることである。 法科学的な分析の範囲は単純な情報の修復から一連の事象の再構成までが含まれる。

証拠としての使用

デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジクスにはとりわけ多くの指針と法的手続きが存在している。

イギリスの法的指針

デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers(ACPO)により発行された指針に準拠する。 その指針は4つの原則からなる。
  1. 法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータにいかなる変更も施すべきでない。
  2. コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、その者はそうする資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
  3. 電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者はそれらの過程を調査し同様の結果を得ることができるべきである。
  4. 捜査の担当者(the case officer)は法とこれらの原則が遵守されることを確実にする全ての責務がある。

実例

コンピュータ・フォレンジクスは多くの事例で重要な役割を果たす。
BTKキラー
デニス・レイダー(Dennis Rader)は16年間にわたり発生した一連の連続殺人で有罪判決を受けた。この末期にレイダーは幾つかの手紙をフロッピーディスクに入れて警察に送った。その文書中のメタデータは"Dennis"という名の著者を"Christ Lutheran Church"と結びつけた。この証拠はレイダーの逮捕につながる裏づけとなった。

ジョセフ・ E・ダンカンIII
ダンカン(Joseph E. Duncan III)のコンピュータから復元された表計算ソフトの表は、彼が犯罪を計画したことを示す証拠を含んでいた。検察はこれを予謀の証明と死刑の確定に使った。

シャロン・ロパートカ
ロパートカ(Sharon Lopatka)のコンピュータに残されていた数百ものEメールは、捜査員を彼女の殺害者ロバート・グラスへ導いた。

フォレンジクスの過程

コンピュータ・フォレンジク捜査は通常、標準的なデジタル・フォレンジクスの過程に従う。 慣例上、捜査は"live"システムよりも静的データ、つまり取得画像(Disk image)で行われる。それらが押収された時、 デジタル時限爆弾がデータの消去を引き起こし得る危険から、捜査官はコンピュータ・システムをシャットダウンするように言われていた。

揮発性データ

証拠を押収する時、もし機器がまだ稼働中ならば、RAMに専ら蓄積され電源を切る前に回復されていない全ての情報は失われる可能性がある。
メモリセルに蓄積された電荷の放散に時間がかかるため、RAMは動力停止後に重要な内容が解析され得る。データ回復が可能な時間は、低温とより高いセル電圧により長くなる。−60 °C下での電源が入っていないRAMの保持は、ある桁による残存データの保存を助け、そのようにして回復成功の見込みを改善する。しかしながら、 現場調査の間にこれをすることは非現実的ということが言える。

技法

クロス・ドライブ解析
複数のハードドライブに発見され、情報と相互に関係するフォレンジク技法の1つ。その技法は、まだ調査中であるが、ソーシャル・ネットワークの識別と異常検出(Anomaly detection)の実施のために使用されることができる。

ライブ解析
カスタム・フォレンジクスまたは証拠を抽出するための既存のシステム管理者ツールを使用した、動作システムの中からのコンピュータの調査。その実施は、例えば、暗号化キーが収集され得る暗号化ファイルシステム(Encrypting File System)を扱う場合に有用であり、またいくつかの事例では、論理ハードドライブ・ボリュームはコンピュータがシャットダウンされる前にイメージを作成される可能性がある(ライブ取得として知られる)。

削除されたファイル
コンピュータ・フォレンジクスで使用される一般的な技法の1つが、削除されたファイルの回復(Recovery of deleted files)である。最新のフォレンジク・ソフトウェアは、削除されたデータの回復または取り出しのための独自のツールを備えている。

解析ツール

いくらかのオープンソースと商用ツールがコンピュータ・フォレンジクス捜査のために存在する。

  • EnCase
  • FTK
  • PTK Forensics
  • The Sleuth Kit
  • The Coroner's Toolkit
  • COFEE
  • Selective file dumper

典型的なフォレンジク解析に含むのは、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード捜査、調査のためのEメールと画像の取り出し。

認証

いくつかの利用可能なコンピュータ・フォレンジクス認証がある。アメリカ合衆国の多くの州法はコンピュータ・フォレンジク鑑定人に専門的認証または私的捜査員のライセンスを所有するように要求する。

一般的認証

  • GIAC Certified Forensic Analyst(GCFA)認証はGlobal Information Assurance Certification団体による。 GCFAに認証された個人が現在2100人以上いる。
  • Certified Computer Examiner(CCE)認証はにより運営される。28カ国で代理人として活動中のCCEが現在1000人以上いる。
  • Certified Computer Forensics Examiner(CCFE)認証はIACRBに主催される。 認証されているCCFEが2009年7月時点で1000人以上いる。
  • Certified Forensic Computer Examiner(CFCE)はIACISにより提供される。
  • IFS Cyber Forensic, Cyber Law, Cyber Crime and Cyber Security Certifications - IFS INDIAにより提供される。
  • Certified Ethical Hacker - EC-Councilにより提供される。

他のコンピュータ・フォレンジク・ソフトウェア企業は、EnCase Certified Examiner(EnCE)認証とAccessData ACE認証のように製品固有の認証を提供する。
「情報セキュリティ対策・実装技術」に属する用語
「セキュリティ」の他の分野
「テクノロジ系」の他のカテゴリ

クリエイティブ・コモンズ・ライセンス

このページのWikipediaよりの記事は、ウィキペディアの「コンピュータ・フォレンジクス」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。

© 2009-2024 ITパスポート試験ドットコム All Rights Reserved.

Pagetop