フォレンジックと IR
デジタルフォレンジック
別称: コンピュータフォレンジック, サイバーフォレンジック
定義
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
デジタルフォレンジックは、インシデント対応・訴訟・内部調査・刑事捜査などを支援するために、デジタル証拠へ調査技術を適用する分野です。実務者は NIST SP 800-86 や ISO/IEC 27037 などの確立されたプロセスモデルに従い、ライトブロッカや暗号学的ハッシュを用いて完全性を保ったままデータを取得し、証拠保全の連鎖(チェーン・オブ・カストディ)を維持しながら、タイムライン分析とアーティファクト分析で事象を再構成します。ディスク・メモリ・ネットワーク・モバイル・クラウドといった各サブ領域には、Autopsy、EnCase、FTK、X-Ways、Volatility、Wireshark などの専用ツールが存在します。目的は、法廷や経営層の精査に耐え、封じ込めと復旧の判断を支える再現可能な結論を導くことです。
例
- FTK Imager で侵害された端末のディスクイメージを取得し、Autopsy で分析する。
- 削除されたファイルやチャット断片を復元して人事調査を支援する。
関連用語
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。
フォレンジックイメージング
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
ディスクフォレンジック
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
メモリフォレンジック
システムの揮発性 RAM を取得・解析し、稼働中プロセス、ネットワーク接続、注入コード、メモリ上の痕跡を明らかにする領域。
Evidence Acquisition
Evidence Acquisition — definition coming soon.