SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

「情報化白書」ITレポート

デジタルフォレンジックの調査と現状

インシデントや脅威への対応の現状[5]

2011年11月に翔泳社より刊行された『情報化白書 2012』(一般財団法人日本情報経済社会推進協会編)は、IT業界の現状を俯瞰することを目的として、最新トピックスからITに関連した法制度などに至る広範な記事を掲載している。このコーナーでは、『情報化白書 2012』の編纂に合わせて行われた調査報告などからまとめたレポートを紹介していく。その第3弾として、『情報化白書 2012』の記事から「インシデントや脅威への対応」を5回にわたって掲載する。

2.3 フォレンジック調査の実際と限界

 フォレンジック調査では、削除されたファイルのデータを復元することもある。ファイルはファイルシステムという「どのファイルがハードディスクのどの場所にあるか」を情報として蓄える仕組みによって管理される。

 ファイルを削除するとファイルシステムが管理する情報に削除フラグが立ち、データ本体にはアクセスできなくなる。しかし、データ本体を削除する処理が行われるわけではなく、専有していた領域が再利用されるまでは残る。こうした痕跡も含めて目的にかなう情報を探すのがハードディスクを対象とするフォレンジック調査である。

 ハードディスク以外にもメモリやSSD(Solid State Drive)、DVDやブルーレイディスク、CDなどの記録媒体も調査対象となるが、ファイルシステムによる管理の有無、揮発性の高さ(注8)などによって情報の取得手法は変わってくる。近年はスマートフォンや携帯電話、ゲーム機やタブレット端末などの新たな形態の「コンピュータ」が増えてきているため、それぞれにデータを吸い出す方法をハード面からもソフト面からも用意し続ける必要があるが、ハードウェアの性能やソフトウェアの性能によって作業時間が制限されてしまうこともある。

 取得したデータをベースにした調査解析分野も確立されてきている。例えば、Webフォレンジックと呼ばれる分野では、閲覧履歴や検索履歴などのデータベースやキャッシュデータなど、Webブラウザが保持している(していた)データを解析する。以前は人と人とが情報をやり取りするのは主に電子メールであったが、現在ではSNS、Twitterなどのショート(ミニ、マイクロ)ブログ、GmailなどのWebメールなど多岐にわたる。Webブラウザが保持するプリミティブなデータだけでそうした伝達方法に関する調査を行うのは非常に難しく、現在においてもまだ、さまざまな研究開発がなされている状況である。

 フォレンジック調査には限界もある。暗号化されているデータやハードディスクの中身を読み取ることは容易ではない。どのような暗号も鍵となるデータの長さは有限であるので解読は不可能ではないが、調査に費やせる費用、人員、期間のなかで解読できるものはきわめて限られる。暗号の仕組み自体に弱さがあり、例えば同一のハードディスク内に鍵となるデータが記録されている場合などには、専用の解読ソフトウェアなどで解読できるが、そうでなければ鍵を設定した人間から聞き出すほかない。したがって、内密の調査では解読が難しくなる。

 また、完全消去という方法によりデータの痕跡が残らないように消去されてしまうと、当然ながら情報を復元することはできない。しかし、完全に消去されていることの特異さや、完全消去行為そのものが調査者に不信感を持たれる契機となり得る。完全削除以外にも偽装工作を行う方法はあるが、そのためのツールをインストールしたりすること自体が疑念を抱かせる可能性もある。また、1つのコンピュータだけをいくら細工してみたところで、サーバーや別のコンピュータに残された情報と照らし合わせてみると矛盾点が生じることもある。実際に偽装工作を行うことはそれほど容易ではないといえるだろう。

次のページ
2.4 デジタルフォレンジックの現状

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
「情報化白書」ITレポート連載記事一覧

もっと読む

この記事の著者

中谷 昌幸(ナカタニ マサユキ)

一般社団法人JPCERTコーディネーションセンター早期警戒グループ マネージャ。
2005年よりJPCERTコーディネーションセンターにおいて、早期警戒業務に従事。2009年より、同グループマネージャとして、インターネット定点観測、Information Analystチーム、インシデントハンドリング...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

園田 道夫(ソノダ ミチオ)

2000年頃より主に情報セキュリティ関連の教育、コンサルを行ってきた。2003年より日本ネットワークセキュリティ協会(JNSA)主催インターネット安全教室講師および非常勤研究員。2004年より情報処理推進機構(IPA)にて企業向けセミナー講師および非常勤研究員。2004年より経済産業省主催セキュリティキャンプの講師...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3897 2012/05/25 00:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング