リーガレックス合同会社

コラム

コラム一覧17.デジタル・フォレンジックス(各論)「データセンター」

17.デジタル・フォレンジックス(各論)「データセンター」

2020.06.05

LXの深山です。今回は、私が法執行機関に所属していた時期に経験し、現在もたまに対応する機会がある、データセンターに関するデータ保全について解説したいと思います。

データセンターとは、各種のコンピュータやデータ通信などの装置を設置・運用することに特化した施設の総称であり、非常に高い可用性が求められる環境であることから、基本的にはシャットダウンすることは出来ません。よって、通常のパソコンやサーバに対するDFの手順である、機器をシャットダウンした上で内蔵のストレージを取り出してデータ保全するという方法は実施できません。また、もしシャットダウンできたとしても、データセンターに設置してあるサーバは非常に高価な機器を使用して複雑なストレージ構造を構成していることが多いため、一部のディスクのデータを保全しただけでは、内容を可視化することはできません。例えば、データセンター内のサーバは複数のディスクを統合してRAIDを構築していることが多く、RAID構成を再現し内容を確認するためには、同様の数百万〜数千万円もの専用機器が必要となるためです。ちなみに、かつてとある法執行機関が重要な金融犯罪の捜査のため、データセンターのサーバを止めてストレージ(数百台のHDD)を全て保全したという話を聞いたことがありますが、保全後のデータの復元や解析で非常に苦労したと聞いています。

そのため、民間のデジタル・フォレンジックス調査ではサーバを止めずにデータ保全をすることが一般的です。具体的には、①FTPなどなんらかのプロトコルを使用してデータを転送する、②使用している専用のソフトウェア付属のエクスポート機能を利用してデータを収集する、③平時から利用しているバックアップシステムのデータを保全する、といった方法が取られます。

①の手法は、Webサーバを保全対象とする場合などに実施されます。FTPなど外部からアクセス出来る手段を保全対象会社から聴取し、そのアカウント情報を利用することでデータを転送し、転送したデータをその後改変されないようイメージファイルの形式で保全するという流れになります。

②の手法は、会計システムや購買システムなど、データセンターの専用ソフトが保全対象となる場合に実施されるため、専用ソフトの仕様について保全対象会社またはサーバ管理委託先の会社から詳しく聞き取りエクスポート機能を利用できるようにする必要があります。また、エクスポートデータを取得した後、専用ソフトを使用してデータを可視化する必要があるため、サーバのOSや専用ソフトのライセンスを借りてデータを分析することになります。

③の手法は、巨大なファイルサーバとしてデータセンターを利用している場合に用いられる方法です。実際に、調査対象期間が古い案件の際に、テープ形式のバックアップデータが年次・月次・週次で取得されているということを聴取したため、外部倉庫に保管してあった年次のバックアップテープを提供していただいたこともあります。

以上、データセンターに関するデータ保全について解説しましたが、類似するクラウドストレージやクラウドサービスについては、また別途解説したいと思います。