データ保全
調査対象の機器(Windows PC/Mac/ファイルサーバ/携帯電話/スマートフォン/タブレット端末/クラウド環境etc)に対し、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。一般のコピーとは異なり、現存データだけでなく削除データ・未使用領域・隠し領域も含めたフォレンジックコピーを行い、さらに調査機器のデジタルデータ原本に改変を生じさせることなく完全に同一の形式でのコピーであるという記録も作成します。
フォレンジック調査対象機器の特定
ヒアリング内容に応じてフォレンジック調査対象とする機器を特定します。
調査対象機器に対して削除データが
復元可能な形式でのデータ保全
一般のコピー操作ではコピーできない削除データや未使用領域等も含めたデータ保全を行います。イメージファイル形式でデータ保全を行うことで、専用のフォレンジックソフトウェアを使用しないと保全データの中身を閲覧することはできません。
フォレンジックソフトウェアを使用して
証拠性を担保
専用のフォレンジックソフトウェアを使用することで、調査対象機器の原本データへ一切の改変を加えることなく複製データを作成します。また原本データと複製データそれぞれのハッシュ値を算出しデータの同一性を担保します。
データ保全のイメージ
データ保全の手順
- 調査対象機器の特定
- 調査対象機器は現在も業務で使用されているのか、すでに対象者から預かって保管中なのか、どこの事業所に設置されているのかなど、対象機器の状態を確認します。暗号化やアカウント情報など保全作業に必要な事前情報を確認します。
- 機材準備
- 調査対象機器の種類や台数に応じて必要となるソフトウェアや機材を準備します。現場で調査対象機器が追加されたり事前情報とは異なるケースでも対応できるよう万全の体制で望みます。
- データ保全作業
- 調査対象機器をお預かりしデータ保全作業を実施します。調査対象機器を日中は業務で使用しなければならない場合には、業務終了後に機器をお預かりし、翌朝始業前にご返却することも可能です。保全データは2セット作成し、1つは保全後の調査・解析で使用し、もう1つは保全後は使用せず厳重に保管します。
- 保全作業結果確認、書類作成
- 保全データとログを確認し、問題なく保全作業が完了していることを確認します。原本データと複製データのハッシュ値が一致していることも確認します。調査対象機器の情報や保全作業内容を記録したEvidence Information and Chain of Custody Sheetを作成します。
