フォレンジックと IR
証拠保全の連鎖(チェーン・オブ・カストディ)
別称: CoC, 証拠管理連鎖
定義
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。
チェーン・オブ・カストディ(CoC)は、デジタルおよび物理証拠の完全性と証拠能力を維持する仕組みです。すべての受け渡しはタイムスタンプ、識別子(事件番号、証拠 ID、ハッシュ値)、署名とともに記録され、改ざん検知容器に保管し、入退室管理された場所で取り扱います。ISO/IEC 27037、NIST SP 800-86、ACPO/SWGDE などのガイドラインに沿い、ライトブロッカで取得し、複製前後に暗号学的ハッシュ(SHA-256)を算出し、ワーキングコピーを保持するのが標準です。連鎖が途切れる(記録欠落、ハッシュ不一致、封印破損など)と証拠が採用されず、訴訟・保険請求・規制対応に重大な影響を及ぼします。
例
- 押収ノート PC を取得から法廷提出まで追跡する署名済み CoC 用紙。
- ディスクイメージが収集から分析まで改変されていないことを示す SHA-256 ハッシュログ。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
Preservation of Evidence
Preservation of Evidence — definition coming soon.
フォレンジックイメージング
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
ライトブロッカ
ストレージへの読み取りを許しつつ、証拠を改変しうる書き込みを阻止するハードウェアまたはソフトウェアツール。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。