証拠の取得
証拠の取得 とは何ですか?
証拠の取得フォレンジックに耐えるツールと手順で、システム、ネットワーク、クラウドサービスからデジタル証拠を防御可能な形で収集すること。
証拠の取得は、調査の正式な工程で、後続の分析のためにソースからデータを取り込む段階です。対象には物理ディスク、仮想ディスク、RAM、モバイル端末、クラウドワークロード、ネットワークキャプチャなどがあります。取得方式は、物理(FTK Imager、dd、Guymager によるビット単位イメージ)、論理(KAPE や Velociraptor によるファイル単位)、ライブ(WinPmem、LiME、Magnet RAM Capture による揮発データ収集)に分類されます。取得時にハッシュを計算し、可能な限りハードウェアライトブロッカーを使い、コピー上で作業し、すべての手順を保管連鎖に記録します。NIST SP 800-86 と ISO/IEC 27037 は揮発性順序とソースへの影響最小化を強調します。
● 例
- 01
ハードウェアライトブロッカー経由で Guymager を用い、1 TB の SSD をビット単位でイメージ取得する。
- 02
Graph API を介して Microsoft 365 Unified Audit Logs を取得し、クラウドの活動を保全する。
● よくある質問
証拠の取得 とは何ですか?
フォレンジックに耐えるツールと手順で、システム、ネットワーク、クラウドサービスからデジタル証拠を防御可能な形で収集すること。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
証拠の取得 とはどういう意味ですか?
フォレンジックに耐えるツールと手順で、システム、ネットワーク、クラウドサービスからデジタル証拠を防御可能な形で収集すること。
証拠の取得 からどのように防御しますか?
証拠の取得 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
証拠の取得 の別名は何ですか?
一般的な別名: 証拠収集, フォレンジック取得。