フォレンジックにおける証拠保全の詳細 ―主要な4つの保全手法を解説―
はじめに
先日の記事『フォレンジック調査の手順と流れ:セキュリティ調査で何が行われているのか』ではフォレンジック調査の大まかな流れを解説しました。
セキュリティインシデントが発生し、フォレンジック調査の対象を決定したあとに行われるのが「証拠保全」です。
この「証拠保全」の質が、その後の調査の成否を大きく左右するといえるほど、重要なプロセスとなっています。
本記事では、セキュリティベンダーの立場から、証拠保全において使用される4つの主要な手法について、それぞれのメリット・デメリット、注意点を詳しく解説します。
「証拠保全」の目的
証拠保全とは、法的紛争やインシデント調査に備え、デジタル機器上の電磁的記録を確実かつ正確に(As-is) 収集・取得し、保全しておくことです。
この作業には、以下の重要な目的があります。
法的証拠能力の確保
民事・刑事訴訟において、デジタルデータを証拠として採用してもらうためには、データの同一性と完全性が証明されなければなりません。改ざんの可能性がある証拠は、裁判では認められない可能性があります。
インシデントの正確な解明
攻撃者の侵入経路、被害範囲、影響を受けたシステムを正確に特定するためには、事実をそのまま記録した証拠が不可欠です。不適切な保全作業により証拠が失われると、真相解明が困難になります。
再発防止策の立案
適切に保全された証拠を分析することで、攻撃手法や脆弱性が明らかになり、効果的なセキュリティ対策を講じることができます。
特にNPO法人デジタル・フォレンジック研究会が発行する「証拠保全ガイドライン第10版」では、クラウド環境の普及に伴う新たな課題にも対応した手順が示されています[1]。
「証拠保全」のパターン
証拠保全には、対象システムの状況や業務継続性の要求に応じて、主に4つの方法があります。それぞれの特徴を理解し、適切な手法を選択することが重要です。
1. ディスク複製(完全複製・物理複製)
概要
ディスク複製とは、HDD/SSDなどの記録媒体に記録されているすべてのビット列を正確に複写する手法です。これは最も厳密な証拠保全方法であり、セクター単位の完全なコピーを作成します。
メリット
- 完全性の確保: 使用中の領域だけでなく、削除済みデータや未割り当て領域も含めてすべて保全される
- 隠し領域の保全: HPA(Host Protected Area)やDCO(Device Configuration Overlay)などの特殊領域も複製可能
- 厳格な同一性検証: ハッシュ値(MD5、SHA-1、SHA-256など)による完全一致の検証が可能
- 法的信頼性: 裁判における証拠能力が最も高い
デメリット
- 時間的コスト: 大容量ディスク(数TB)の場合、複製に数時間~数十時間かかる場合がある
- 物理的負担: 複製先として同容量以上の新規媒体が必要
- 暗号化への対応: ディスク全体暗号化(Full Disk Encryption)が施されている場合、事前に解除キーの取得が必要
- 業務停止: 対象機器の電源を切る必要があり、業務継続が困難
実施時の注意点
- 書き込み防止装置の使用: 複製元への書き込みを防ぐため、ライトブロッカー(書き込み防止装置)の使用が強く推奨される
- 事前記録: 複製前にジャンパーピンの設定、HPA/DCOの有無を記録
- ハッシュ値の照合: 複製前後でハッシュ値を計算し、同一性を検証
- 作業ログの記録: 誰が、いつ、どのツールを使って作業したかを詳細に記録
「証拠保全ガイドライン第10版」では、「原本に対して一切の書き込みが発生しないようにする」ことが強調されており、この原則を守ることが証拠能力を担保する上で極めて重要です[1]。
2. イメージファイルの作成(論理複製・イメージコピー)
概要
イメージファイル作成とは、ディスクの全ビット列をフォレンジックツール固有のフォーマット(EnCaseのE01形式、FTK ImagerのAD1形式など)で保存することで、論理的な証拠ファイルを作成する手法です。
メリット
- 取扱性の向上: 単一または分割されたファイルとして管理できるため、保管・転送が容易
- 圧縮機能: 多くのフォーマットで圧縮機能があり、ストレージ容量を節約可能
- メタデータ管理: 取得日時、取得者、ケース情報などのメタデータを埋め込める
- 分割保存: DVD-Rなど小容量メディアへの分割保存が可能
- 完全性の保証: ハッシュ値による同一性検証が可能
デメリット
- ファイルシステムの制限: FAT32は4GBまでのファイルしか扱えないため、事前にNTFS等への変更が必要
- ツール依存: 特定のフォーマットを作成・解析するには対応ツールが必要
- 処理時間: 圧縮処理により、物理複製より時間がかかる場合がある
実施時の注意点
- 検証済みツールの使用: CFTT(Computer Forensics Tool Testing)等の第三者機関で検証されたツールの使用が推奨される
- 複製先媒体の準備: 事前にワイプ(完全消去)された新しい媒体を使用
- Live Linux環境の活用: 対象PCが起動しない場合でも、USBやCD/DVDからLive Linuxを起動してイメージ取得が可能
- 作業ログの保存: ツールが出力するログファイルを必ず保存
証拠保全ガイドラインでは、「NTFS等のジャーナリング対応ファイルシステムの利用が推奨される」と明記されており、安定性と信頼性を確保する上で重要です[1]。
3. ファイルコピー
概要
ファイルコピーとは、原本のストレージ全体ではなく、必要なファイルやフォルダのみを選択的にコピーする手法です。
主に原本の提出が困難な場合や、業務継続の観点から全体の複製が現実的でない場合に用いられますが、特に刑事手続きや民事裁判に利用する場合は注意が必要です。
メリット
- 業務継続性: 対象システムを停止させることなく保全作業が可能
- 迅速性: 必要なデータのみを対象とするため、作業時間が短い
- 低負荷: ストレージ全体ではなく必要なファイルのみのため、リソース消費が少ない
- 柔軟性: 稼働中のサーバーからも証拠を収集可能
デメリット
- 完全性への疑義: 全体像が保全されないため、「重要な証拠が見落とされている」との指摘を受けやすい
- 削除データの欠如: 削除されたファイルや未割り当て領域のデータは取得できない
- 法的リスク: 証拠能力が他の方法より低く評価される可能性がある
実施時の注意点
- 原本提出困難の証明: なぜ原本を提出できないのか、その理由を明確に記録
- ハッシュ値による同一性確認: コピー元とコピー先のファイルのハッシュ値を比較し、改ざんがないことを証明
- 立会人の確保: 可能であれば第三者の立会のもとで作業を実施
- 詳細な記録: コピー元のパス、作成日時、ファイルサイズ、ハッシュ値などを記録
- 報告書の作成: 証拠化のため、作業内容を詳細に記載した報告書を作成
証拠保全ガイドラインでは、「原本提出不能または著しく困難である疎明や、コピーの作成日時、立会人の署名、同一性確認とその記録が重要」と指摘されています[1]。
4. クラウド保全
概要
クラウド保全とは、IaaS、PaaS、SaaSなどのクラウドサービス上に存在するデータやログを保全する手法です。
物理的なアクセスが不可能なクラウド環境では、従来のオンプレミス環境とは異なるアプローチが必要です。
メリット
- リモート取得: 物理的な機器へのアクセスなしに、API経由やGUI操作で証拠を取得可能
- スナップショット機能: 仮想マシンの状態を瞬時に保存できる
- リーガルホールド: クラウドサービスによっては、データの削除・変更を禁止する機能を利用可能
- バージョニング: ファイルの過去バージョンを遡って取得できる場合がある
- 自動化: APIを活用した自動的な証拠収集が可能
デメリット
- ログ保持期限: 標準設定ではログの保存期間が短い(AWS CloudTrailで90日、Entra IDで30日など)
- データ越境: データが複数の国・地域に分散保存されている場合、法的な制約が発生するケースがある
- プロバイダ依存: クラウドサービスプロバイダ(CSP)の提供機能に依存
- ログ取得設定: デフォルトではログが記録されていない場合がある
- 責任分界点: IaaS、PaaS、SaaSなど、クラウドサービスの種類によりCSPと利用者(CSC)の管理責任範囲が異なる
実施時の注意点
- 即座のログエクスポート: ログ保存期限が短いため、発見次第すぐにエクスポート
- ログ取得設定の確認: データプレーン(データ操作)のログは、明示的に取得を有効化しないと記録されない場合が多い
- 複数ログの相関分析: 認証ログ、操作ログ、アクセスログなど複数のログを統合して分析
- タイムスタンプの記録: クラウド特有の時刻情報(UTCなど)を正確に記録
- スナップショット取得: 仮想マシンやストレージのスナップショットを早期に取得
- 契約内容の確認: CSPとの契約で、どこまでの証拠保全が可能か事前確認
証拠保全ガイドライン第10版では、新たに「9. クラウドサービス」の章が設けられ、「ログ取得設定の未設定時は直ちに標準で取得されている分の保全が必要」と強調されています[1]。
各手法の比較表
項目 | ディスク複製 | イメージファイル | ファイルコピー | クラウド保全 |
|---|---|---|---|---|
完全性 | ◎ | ◎ | △ | ○ |
証拠能力 | ◎ | ◎ | △ | ○ |
業務継続性 | × | × | ○ | ◎ |
作業時間 | 長い | やや長い | 短い | 短~中 |
削除データ取得 | ○ | ○ | × | △ |
コスト | 高 | 中 | 低 | 中~高 |
適用場面 | 刑事事件、重大事案 | 一般的な調査 | 軽微な事案 | クラウド環境 |
4つの手法全てに共通することですが、以下の理由から「インシデントの発覚から保全までの間隔を短くし(または即座に対象の使用を停止して)、証拠が失われないようにする」ことも重要です。
- コンピューターを起動しているだけで多くのログが生成されるため、重要なログがローテーションによって消えてしまう可能性がある
- システムがバックグラウンドで行う処理によって、本来は復元できたはずの削除済みデータが完全に失われてしまう可能性がある
特に「インシデントの正確な解明」と、それに続く「再発防止策の立案」の目的においては重要となるポイントです。
まとめ
フォレンジック調査における証拠保全は、その後のすべての分析作業の基礎となる極めて重要なプロセスです。
本記事で解説した4つの手法には、それぞれ長所と短所があり、インシデントの性質、業務継続の必要性、法的要求水準などに応じて適切な方法を選択する必要があります。
選択のポイント
- 刑事事件や重大なインシデント: ディスク複製またはイメージファイル作成による完全な保全が推奨
- 一般的な社内調査: イメージファイル作成が実用的
- 業務停止が困難な場合: ファイルコピーやクラウド保全を検討
- クラウド環境: クラウド固有の保全手法を採用し、早期のログ取得が重要
共通する重要原則
どの手法を採用する場合でも、以下の原則は守らなければなりません:
- 原本の保護: 書き込み防止などにより原本を保護
- 同一性の検証: ハッシュ値などによる同一性確認
- 詳細な記録: 作業内容、日時、担当者、使用ツールの記録
- Chain of Custody: 証拠の取扱履歴を明確にする
企業のセキュリティ担当者の方には、平時から証拠保全手順を整備し、必要な機材やツールを準備しておくことをお勧めします。
いざというときに適切な証拠保全ができるかどうかが、インシデント対応の成否を分けるのです。
関連サービス
出典
[1] NPO法人デジタル・フォレンジック研究会「証拠保全ガイドライン 第10版」(2025年3月) https://digitalforensic.jp/wp-content/uploads/2025/04/shokohozenGL10.pdf
