ホーム Topics デジタル・フォレンジック デジタル・フォレンジックとは
IBMのデジタル・フォレンジック・ソリューションはこちら セキュリティーの最新情報を購読する
クラウド、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト

公開日:2024年2月16日
寄稿者:アニー・バッドマン、アンバー・フォレスト
デジタル・フォレンジックとは

デジタル・フォレンジックは、法廷において完全性と証拠能力を維持できるようにデジタル証拠を収集・分析するプロセスです。

デジタル・フォレンジックは法医学の一分野です。これはサイバー犯罪の捜査に使用されますが、刑事捜査や民事捜査にも役立ちます。デジタル・フォレンジックは、例えば、サイバーセキュリティー・チームマルウェア攻撃の背後にいるサイバー犯罪者の特定するためや、法執行機関が殺人容疑者のデバイスからデータを分析するために使うことがあります。

デジタル・フォレンジックは、デジタル証拠を他の形式の証拠と同様に扱うため、幅広い用途があります。当局が特定のプロセスを使用して犯罪現場から物的証拠を収集するのと同じように、デジタル・フォレンジック捜査官はデジタル証拠を扱う際に、改ざんを避けるために厳格なフォレンジック・プロセス(保管連鎖とも呼ばれる)に従います。

デジタル・フォレンジックとコンピューター・フォレンジックはしばしば同じ意味で使われます。しかし、デジタル・フォレンジックは技術的にはあらゆるデジタル機器から証拠を収集するのに対して、コンピューター・フォレンジックは特にコンピューターやタブレット、携帯電話、CPUを備えた機器などのコンピューティング機器から証拠を収集します。

デジタル・フォレンジックとインシデント対応(DFIR)は、コンピューター・フォレンジックとインシデント対応活動を統合して、関連するデジタル証拠が侵害されないようにする一方で、サイバー脅威の修復を加速する、新たなサイバーセキュリティー分野です。
デジタル・フォレンジックが重要な理由

デジタル・フォレンジックまたはデジタル・フォレンジック化学は、パーソナル・コンピューターの台頭とともに1980年代初頭に初めて表面化し、1990年代に注目を集めました。

しかし、米国を始めとする国々がデジタル・フォレンジック政策を正式に打ち出したのは、21世紀初頭になってからです。標準化へのシフトは、2000年代のコンピューター犯罪の増加と法執行機関の全国的な分散化に起因しています。

デジタル機器が関与する犯罪の増加に伴い、それらの犯罪の起訴に関与する個人が増え、当局は犯罪捜査が法廷で認められる方法でデジタル証拠を扱うことを保証するための手続きを必要としていました。

今日、デジタル・フォレンジックの重要性はますます高まっています。事実上あらゆる人、あらゆるものが利用できる圧倒的な量のデジタル・データを考えてみれば、その理由が理解できるでしょう。

社会がコンピューター・システムやクラウド・コンピューティング・テクノロジーへの依存を強めるにつれ、個人は携帯電話やタブレット、IoTデバイス、コネクテッド・デバイスなど、ますます多くのデバイスを使用してオンラインで生活を行うことがますます増えてきています。

その結果、調査員はサイバー攻撃やデータ侵害、犯罪・民事捜査など、増え続けるさまざまな犯罪活動の分析と理解のデジタル証拠として、かつてないほど多くのソースから、これまで以上に多くのデータを利用できるようになりました。

さらに、物理的かデジタルかにかかわらずあらゆる証拠と同様、捜査官や法執行機関はそれを正しく収集・処理・分析・保管する必要があります。そうしないと、データの紛失や改ざんが起こったり、法廷で認められなくなったりする可能性があります。

フォレンジック専門家はデジタル・フォレンジック捜査の責任を負い、この分野の需要が高まるにつれて雇用機会も増加しています。労働統計局は、コンピューター・フォレンジックの求人が2029年までに31%増加すると予測しています(ibm.com外部へのリンク)。
デジタル・フォレンジック捜査プロセスとは

米国国立標準技術研究所(NIST)(ibm.com外部へのリンク)は、デジタル・フォレンジック分析プロセスの4つのステップの概要を説明しています。

これらのステップには以下が含まれます。
データコレクター

デジタル・フォレンジック捜査に関連するデータやメタデータ、またはその他のデジタル情報を含むデジタル・デバイスやストレージ・メディアを特定します。

刑事事件の場合、法執行機関は潜在的な犯罪現場から証拠を押収し、厳格な管理連鎖を確保します。

証拠の整合性を維持するために、フォレンジック・チームはハードドライブ・デュプリケーターやフォレンジック・イメージング・ツールを使用してデータのフォレンジック複製を作成します。

複製プロセスの後、元のデータを保護し、改ざん防止のために複製を使って残りの捜査を行います。
検査

捜査官はデータとメタデータをくまなく調べて、サイバー犯罪活動の兆候を探します。

フォレンジック検査官は、Webブラウザの履歴やチャット・ログ、リモート・ストレージ・デバイス、削除された領域、アクセス可能なディスク領域、オペレーティング・システムのキャッシュ、コンピュータ化されたシステムのその他の事実上すべての部分を含むさまざまなソースからデジタル・データを回復できます。
データ分析

フォレンジック・アナリストは、さまざまな方法論とデジタル・フォレンジック・ツールを使用して、デジタル証拠からデータと洞察を抽出します。

例えば、「隠された」データやメタデータを発見するには、実行中のシステムに揮発性データがないかどうかを評価するライブ分析や、ステガノグラフィー(通常のメッセージ内の機微情報を隠す方法)を使用して隠されたデータを公開する逆ステガノグラフィーなど、特殊なフォレンジック手法を使用することがあります。

捜査官は、捜査結果を特定の脅威アクターに結び付けるために、独自のオープンソース・ツールを参照することもあります。
レポート

捜査が終わると、フォレンジックの専門家は、何が起きたのか、誰に責任があるのか、などの分析結果をまとめた正式な報告書を作成します。

報告内容はケースによって異なります。サイバー犯罪については、将来のサイバー攻撃防止のための脆弱性修正に関する推奨事項が含まれていることがあります。報告書は法廷でデジタル証拠を提示するためにも頻繁に使用され、法執行機関や保険会社、規制当局、その他の当局と共有されます。
デジタル・フォレンジック・ツール

1980年代初頭にデジタル・フォレンジックが登場した際、正式なデジタル・フォレンジック・ツールはほとんどありませんでした。ほとんどのフォレンジック・チームはライブ分析頼みでしたが、これは重大な改ざんのリスクを引き起こす悪名高いトリッキーな手法でした。

1990年代後半までに、デジタル証拠に対する需要の高まりに伴い、EnCaseやFTKなどのより洗練されたツールの開発が進みました。これにより、フォレンジック・アナリストはライブ・フォレンジックに頼ることなくデジタル・メディアのコピーを検査できるようになりました。

現在、フォレンジック専門家は幅広いデジタル・フォレンジック・ツールを使用しています。これらのツールはハードウェア・ベースでもソフトウェア・ベースでもよく、データを改ざんすることなくデータソースを分析できます。一般的な例には、個々のファイルを抽出して分析するファイル分析ツールや、レジストリー内のユーザー・アクティビティーを分類するWindowsベースのコンピューティング・システムから情報を収集するレジストリー・ツールなどがあります。

一部のプロバイダーは、EncaseやCAINEなどの商用プラットフォームを使用して、包括的な機能とレポート機能を備えた特定のフォレンジック目的のための専用のオープンソース・ツールも提供しています。特にCAINEは、フォレンジック・チームのニーズに合わせたLinuxディストリビューション全体をカバーしています。
デジタル・フォレンジックの分野

デジタル・フォレンジックには、フォレンジック・データのさまざまなソースに基づく個別の部門が含まれています。

デジタル・フォレンジックの最もポピュラーな分野には、以下のようなものがあります。

  • コンピューター・フォレンジック(またはサイバーフォレンジック):コンピューターサイエンスと法的フォレンジックを組み合わせて、コンピューティング・デバイスからデジタル証拠を収集。
  • モバイル機器フォレンジック:スマートフォン、タブレット、その他のモバイルデバイス上のデジタル証拠の調査と評価。
  • データベース・フォレンジック:サイバー犯罪やデータ侵害の証拠発見のために、データベースとその関連メタデータを調査・分析。
  • ネットワーク・フォレンジック:Webブラウジングやデバイス間の通信などのコンピューター・ネットワーク・トラフィックで見つかったデータの監視・分析。
  • ファイルシステム・フォレンジック:デスクトップやノートPC、携帯電話、サーバーなどのエンドポイント・デバイスに保存されているファイルやフォルダーから発見されたデータの検査。
  • メモリー・フォレンジック:デバイスのランダム・アクセス・メモリー(RAM)で見つかったデジタル・データの分析。
DFIR:デジタル・フォレンジックとインシデント対応

コンピューター・フォレンジックとインシデント対応 (進行中のサイバー攻撃の検知と軽減)が独立して実施されると、互いに干渉し合い、組織にとってマイナスの結果をもたらす可能性があります。

インシデント対応チームは、ネットワークから脅威を除去しながら、デジタル証拠を変更または破壊できます。法医学捜査官は、証拠を探し出して確保している間に、脅威の解決が遅れる可能性があります。

デジタル・フォレンジックとインシデント対応またはDFIRは、コンピューター・フォレンジックとインシデント対応を統合したワークフローで、セキュリティー・チームがサイバー脅威を迅速に阻止するのを助けると同時に、脅威軽減の緊急性によって失われる可能性のあるデジタル証拠を保全できます。

DFIRの主なメリットは2つあります

  • フォレンジック・データの収集は、脅威の軽減と並行して行われます。インシデント対応担当者は、脅威を封じ込め、根絶する間、コンピューター・フォレンジック技術を使用してデータを収集・保存することで、適切な保管連鎖が守られ、貴重な証拠が変更されたり破壊されたりしないようにします。
  • インシデント後レビューには、デジタル証拠の調査が含まれますDFIRチームは、法的措置のための証拠保全に加え、サイバーセキュリティー・インシデントを最初から最後まで再構築し、何が起きたか、どのように起きたか、損害の程度、同様の攻撃をどのように回避できるかを学ぶために、このツールを使用しています。

DFIRは、より迅速な脅威の緩和やより強固な脅威の回復、ならびに刑事事件、サイバー犯罪、保険金請求、その他のセキュリティー・インシデントを調査するための証拠の改善に寄与します。
関連ソリューション
脅威の検知と対応(TDR)ソリューション

IBMのイノベーションでアラート調査とトリアージの最大55%改善を実現しましょう。

 脅威の検知と対応ソリューションの詳細はこちら
参考情報 DFIR(デジタルフォレンジックおよびインシデント対応)とは

DFIRは2つのサイバーセキュリティー分野を組み合わせて、サイバー犯罪に対する証拠を保全しながら脅威への対応を合理化します。

 コンピューター・フォレンジックとは

コンピューター・フォレンジックには、コンピューティング・デバイスからデジタル証拠を収集して法廷での証拠能力を確保することが含まれます。
次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。 弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

 サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読