リーガレックス合同会社

コラム

コラム一覧3.デジタル・フォレンジックスの概要②

3.デジタル・フォレンジックスの概要②

2020.03.10

LXの深山です。

前回に引き続き、DFの全体概要(分類)について解説していきます。

◆情報処理機器による分類

①クライアントPC:パソコンに対するDFは一番多く活用されています。

②各種携帯端末:スマートフォンやタブレット端末が業務用としても多数普及してきた現代では、携帯端末に対するDFの活用も進んでいます。

③各種サーバ:メールサーバ、ファイルサーバ、基幹システムサーバなど各種サーバの調査に対してDFが活用されることがあります。

④ネットワーク機器:セキュリティ関連の調査では、ルータやファイアウォール、認証サーバ、プロキシ等々のログを調査するためにDFが活用されます。

◆電磁的記録媒体による分類

①HDD(ハードディスクドライブ):一時期よりは利用が減ってきていますが、現在でも大容量のデータを安価に格納できるハードディスクはDFの大きな対象となっています。削除されたデータが復元できる可能性がSSDよりは高く、専門家によると完全な消去は不可能と言われております。ただし、暗号化技術の高度化により、フルディスク暗号化が実施されている場合には、復元は困難になってしまいます。

②SSD(ソリッドステートドライブ):昨今のパソコンやタブレット端末のメインストレージとして利用されているSSDは処理速度に優れ、耐衝撃性の高さから利用は拡大していますが、その特殊な内部管理方法のため削除されたデータの復元は困難なケースが多いです。

③USBメモリ:十年ほど前から安価に普及し、どこにでも手に入る電磁的記録媒体として利用されており、DFの対象となることも多いです。ただし、セキュリティ対策のため企業では利用が禁止される傾向が強いです。

④光学式メディア:USBメモリの普及により近年利用が減少しておりますが、CDやDVDもDFの対象となります。

⑤内蔵メモリ:PCの起動中でなければデータが残らない揮発性のメモリについても、調査・分析の目的によってはDFの対象となります。内蔵メモリは上記①~④のように一度記録するとPCの電源を落としてもデータが残る記録媒体と異なり、PCの電源を落とすとデータが消えてしまう領域です。

◆記録の種類による分類

①端末の操作ログ:Windowsのレジストリと呼ばれるデータエリアに、起動・シャットダウン・インストールなどの様々な操作ログが残ることがあり、これらをDFによって分析することがあります。

②アプリケーションのログ:会計ソフトや基幹業務ソフトなどのアプリのログについてもDFの対象となります。

③ネットワーク機器のログ:情報漏洩やセキュリティ事案の場合にDFの対象となります。

◆アプリケーションの種類による分類

①メール等コミュニケーションデータ:不正・不祥事対応調査の場合、調査の中心となる種類のデータです。

②オフィスファイルデータ:文書やスプレッドシート等のドキュメントもDF調査の対象となるメインのデータです。

③Web閲覧履歴やSNSデータ:調査対象者の行動履歴を把握するために重要となる対象データです。

◆情報システムの運用形態

①オンプレミス型:従来型のクライアントPC及び各種サーバの構成で構築されたシステムに対するDFです。(業務を止めてしまうリスクが高いデータセンターにあるサーバに対してDFを実施することは稀ですが、法執行機関に所属していた時代に、重要な事件で実施した経験はあります)

②クラウド型:昨今のシステムは「マイクロソフトのAzureやAmazonのAWS、GoogleのGoogle Cloud Platform等のプラットフォーム」や「マネーフォワードやfreee等のSAAS」にシステムが移行しておりますので、クラウドシステムに対するDFというケースも増えています。具体的には、パソコンや外部記録媒体に対するデータの復元という事ではなく、クラウドシステムの概要把握やデータの収集に関してDF専門家が関与し手続きを適切に行うといった支援を行っています。

次回以降、DFが重要となってきた背景について解説したいと思います。