フォレンジック・プロセス
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/09/16 23:33 UTC 版)
「デジタル・フォレンジック」の記事における「フォレンジック・プロセス」の解説
詳細は「Digital forensic process(英語)」を参照 デジタル・フォレンジック調査は一般的に、「収集またはディスクイメージのコピー」、「分析」、「報告」という3つの段階から成る 。 データの収集またはコピーの段階で理想的なのは、コンピュータの揮発性メモリ(RAM)の「イメージ」を取り込む、またはセクタレベルの複製、メディアの複製、書き込みブロッキングを利用したオリジナルの変形を防止などの対策をとることである。ただ、近年のストレージメディアのサイズの拡大やクラウドコンピューティングなどの開発により、物理的なストレージデバイスの完全なイメージではなく、データの「論理的な」コピーが取得される「生データ」の取得が増えた。改変がされていないか後に検証するために、取得したイメージ(または論理コピー)とオリジナルのメディア/データの両方がハッシュ化され(SHA-1やMD5といったアルゴリズムを使用し)、複製との値を比較し、同じであれば正確に同じ複数したものとされる。 分析段階では、調査員は様々な方法やツールを使用して証拠資料を回収する。2002年、International Journal of Digital Evidenceの記事はこのステップを「疑わしい犯罪に関連する証拠の詳細な体系的検索」と呼んでいる。2006年、法科学調査員のBrian Carrierは、「直感的な手順」で明白な証拠が特定され、次に「徹底的な調査が行われて穴が埋めらていく」と説明した 。 分析プロセスは、実際の調査によって異なる可能性があるが、一般的な方法論としては、デジタルメディア全体でのファイル検索(ファイル内、未割り当てスペース 、 空きスペース)、削除ファイルの復元、レジストリ情報の抽出などがある(USBデバイス含む)。 回収された証拠は、イベントを再構築し、分析し、通常書面による報告の形で一般の人間に理解できる言葉でまとめられる。
※この「フォレンジック・プロセス」の解説は、「デジタル・フォレンジック」の解説の一部です。
「フォレンジック・プロセス」を含む「デジタル・フォレンジック」の記事については、「デジタル・フォレンジック」の概要を参照ください。
- フォレンジック・プロセスのページへのリンク
