証拠保全

Q: 証拠保全 からどのように防御しますか?

証拠保全 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

証拠保全とは何ですか?

証拠保全デジタル証拠が改竄・喪失・汚染を受けないように保護し、調査全体を通じて証拠能力と信頼性を維持するフォレンジックの分野。

証拠保全は、関連性のあるとされたデータが収集から法廷まで原状を保つことを保証します。担当者は対象を隔離し、破壊的な処理を停止し、ログのローテーションを止め、リーガルホールドを発動し、ストレージを取得する際にライトブロッカーを用います。各証拠は取得時に MD5・SHA-256 などでハッシュ化し、後で再検証して完全性を立証します。保管連鎖(Chain of Custody)で取扱者、所在、アクセスを記録します。RAM、ARP キャッシュ、稼働中のネットワーク接続などの揮発性証拠は、電源を切ると消失するため最初に取得します。NIST SP 800-86、ISO/IEC 27037、ACPO ガイドラインがこの手続きを体系化しています。

● 例

01
内部不正調査の開始時にリーガルホールドを発動し、メールボックス監査ログのローテーションを停止する。
02
ランサムウェア感染が疑われるサーバーを停止する前に、WinPmem で揮発メモリを取得する。

● よくある質問

証拠保全とは何ですか?

デジタル証拠が改竄・喪失・汚染を受けないように保護し、調査全体を通じて証拠能力と信頼性を維持するフォレンジックの分野。サイバーセキュリティのフォレンジックと IR カテゴリに属します。

証拠保全とはどういう意味ですか?

デジタル証拠が改竄・喪失・汚染を受けないように保護し、調査全体を通じて証拠能力と信頼性を維持するフォレンジックの分野。

証拠保全からどのように防御しますか?

証拠保全に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

証拠保全の別名は何ですか?

一般的な別名: 証拠の保存, フォレンジック保全。

● 関連用語

● 関連項目

フォレンジックレディネス

証拠保全 とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

証拠保全とは何ですか?