前回のコラムで「データ保全」について説明をしましたが、今回は保全したデータに対して行う「調査・解析」について解説したいと思います。

ヒアリングによって策定した調査計画に則って必要な調査・解析を行っていきます。デジタル・フォレンジックでは様々な種類の調査や解析を行いますが、今回は一般的な調査内容について説明していきます。

調査・解析の流れとしては以下の通りです。

１．削除データ復元・パスワード解除

削除データの復元やパスワードのかかったメールの添付ファイルについてパスワード解除を行います。

PC内でごみ箱からも削除されてしまっていたデータについても専用のフォレンジックソフトウェアを用いることで削除データを復元できるケースもあります。

またメールの添付ファイルや圧縮ファイルなどにパスワードがかかっている場合には、メールデータからパスワードと思われる単語を抽出することで、パスワード解除の精度を高めていきます。

２．データの抽出・絞り込み

キーワードで絞り込むだけでなく、メールの送受信日時や送受信者などの情報でも絞り込みを行うことができます。

キーワード検索結果はヒットレポートを作成してキーワードごとのヒットしたドキュメント数を確認し、キーワードの調整を行っていきます。

３．操作ログや履歴の抽出

Web閲覧履歴、USB接続履歴、PCの電源ON/OFFの履歴、アプリケーション実行履歴など調査項目に応じて必要な調査を行います。

４．メールやドキュメントファイルの確認・レビュー

キーワード検索だけでは証拠書類を絞り切れない場合は、パラリーガルや法科大学院生による1stレビューを行いさらなる絞り込みを行います。

そこで絞り込んだデータを弁護士による2ndレビューを行い証拠となるデータを特定します。人工知能（AI）を用いてレビュー精度・速度をアップさせます。

以上が「調査・解析」の流れと解説となります。すべてのフォレンジック調査において上記のすべての項目を調査するというわけではなく、事案それぞれに対して必要な項目の調査を行います。

そのためにもヒアリングで策定した調査方針・調査項目が重要になってきます。

また当初作成した調査項目を実施したことで、新たに調査対象者となりうる関係者が明らかになったり、全く別の事案の端緒が見つかるケースもあります。

その場合には追加でデータ保全を行ったり、追加での調査・解析を行っていきます。

次回のコラムでは「報告」について解説したいと思います。