前回のコラムで「ヒアリング」について説明をしましたが、今回はその次に行う「データ保全」について解説したいと思います。

ヒアリングによって特定したフォレンジック調査対象の機器に対して、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。

データ保全の流れとしては以下の通りです。

１．調査対象機器の特定

調査対象機器は現在も業務で使用されているのか、すでに対象者から預かって保管中なのか、どこの事業所に設置されているのかなど、対象機器の状態を確認します。

暗号化やアカウント情報など保全作業に必要な事前情報を確認します。

PCの場合はWindowsかMacかによってデータ保全に使用するソフトウェアも異なりますので、事前に情報を確認します。

サーバの場合は社内にサーバ本体がなくデータセンターに設置されていることもあります。その際はデータセンターでデータ保全作業を行うケースもあります。

２．機材準備

調査対象機器の種類や台数に応じて必要となるソフトウェアや機材を準備します。現場で調査対象機器が追加されたり事前情報とは異なるケースでも対応できるよう万全の体制で望みます。

３．データ保全作業

調査対象機器をお預かりしデータ保全作業を実施します。

調査対象機器を日中は業務で使用しなければならない場合には、業務終了後に機器をお預かりし、翌朝始業前にご返却することも可能です。

保全対象機器の台数が多い場合には、1日では終了せずに翌日や翌々日も保全作業を行うケースや、週末を利用してまとめて保全作業を行うケースもあります。

調査対象機器に応じてスケジュール調整を行います。

保全データは2セット作成し、1つは保全後の調査・解析で使用し、もう1つは保全後は使用せず厳重に保管します。

システムによっては、システム管理者のアカウントでデータを抽出することが可能な場合もあります。その場合には抽出していただいたデータを受領します。

データ保全作業は基本的には現地に訪問して作業を行いますが、例えばPCの使用者が既に退職しているのでもう使用していないという場合には弊社へPC本体を郵送してもらい、弊社内で保全作業を実施することもあります。

４．保全作業結果確認、書類作成

保全データとログを確認し、問題なく保全作業が完了していることを確認します。原本データと複製データのハッシュ値が一致していることも確認します。

調査対象機器の情報や保全作業内容を記録したEvidence Information and Chain of Custody Sheetを作成します。

TMIP&SのEvidence Information and Chain of Custody Sheet

以上が「データ保全」の流れと解説となります。適切な手順でデータ保全が行われなければ、フォレンジック調査全体の信用性を損なってしまいます。

デジタルデータは揮発性が高く改編も容易なため、専門スキルをもつエンジニアによる作業が必要です。

また最近は退職者による営業秘密情報の持ち出しといった事案も増えてきていますので、退職時に会社貸与のPCやスマートフォンのデータを削除してしまう前に、データ保全だけ実施しておき、将来的にフォレンジック調査が必要となった際に備えるということも可能です。

次回のコラムでは「調査・解析」について解説したいと思います。