以前のコラムで「デジタル・フォレンジック」という言葉の説明をしましたが、今回は実際にデジタル・フォレンジックを行う際の作業の流れについて解説したいと思います。

フォレンジック調査ユースケースのコラムで記載しているように、様々な事案でフォレンジック調査が活用されますが一般的な作業の流れとしては以下の通りです。

それぞれの作業の詳細な説明は次回以降のコラムで取り上げていきたいと思います。

１．ヒアリング

まずは事案の内容についてヒアリングを行い、フォレンジック調査のスケジュールや、フォレンジック調査を行う対象機器等について確認します。

ヒアリング内容からフォレンジック調査によって獲得すべき証拠を特定し調査方針・調査項目を策定します。

２．データ保全

ヒアリングによって特定したフォレンジック調査対象の機器（Windows PC/Mac/ファイルサーバ/携帯電話/スマートフォン/タブレット端末/クラウド環境etc）に対し、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。

フォレンジック調査におけるデータ保全は一般のコピーとは異なり、現存データだけでなく削除データ・未使用領域・隠し領域も含めたフォレンジックコピーを行い、さらに調査対象機器のデジタルデータ原本に改変を生じさせることなく完全に同一の形式でのコピーであるという記録も作成します。

３．調査・解析

保全したデータに対して、調査項目にしたがってフォレンジックソフトウェアを用いて解析を行います。

主な調査項目としてはメールデータ、Office・PDF系ファイル、画像・動画ファイル、USB接続履歴、Webサイト閲覧履歴、アプリケーション実行履歴、LINE等Chatアプリのメッセージ等の抽出作業、抽出したデータに対してのキーワード検索、レビュー作業となります。

PCのごみ箱からも削除されてしまっていたデータについてもフォレンジックソフトウェアで削除データを復元できるケースもあります。

またPWがかけられたファイルがあった場合にはPW解析を行い、ファイルの中身を確認することもできます。

４．報告

調査・解析した内容に基づいて調査報告書を作成します。調査報告書には調査対象機器の情報、保全作業の記録、解析結果、解析に使用したフォレンジックソフトウェア情報などを記載します。

また解析結果として復元・抽出したデータについてもUSBメモリや外付けHDDに格納して納品いたします。これらの調査報告書と納品データについて調査報告会を実施することも可能です。

以上が一般的なフォレンジック調査の流れとなります。

調査内容によってそれぞれの作業内容が変わることはありますが、全体的な調査の流れが大きく変わることはありません。

次回のコラムでは「ヒアリング」について解説したいと思います。