用語集

あ行

インシデント・レスポンス

インシデント・レスポンスとは、情報システム等における事故(インシデント)が発生した後の措置、対応のことを指す。情報セキュリティの分野における事故(インシデント)とは、情報システム等全般に対する脅威となる事象のことを指し、セキュリティインシデントとも呼称される。

昨今のインシデントは、不正アクセスやシステム障害などシステムを主眼としたものだけでなく、粉飾決算やインサイダー取引、隠蔽工作など、モラルハザードにおけるインシデントもインシデント・レスポンスの対象としている。

企業活動等において、情報システム等における事故(インシデント)が発生すると、企業価値の低下に繋がるおそれがある。データの損失やサービスの低下、企業価値の低下等リスクを抑止、極小化し、ダメージコントロールを行うことがインシデント・レスポンスの一つの目的である。

インシデント・レスポンスは、いかに早い段階でインシデントについて把握し、「迅速」「的確」「円滑」に初動対応をとることが重要である。適切な初動対応、調査を実施するためには、平時にインシデント発生時の対応の手順、体制の構築を整え、定期的に訓練を行うことが重要である。

インシデント発生時の調査において、準備・体制構築ができていない、問題解決のためのプロセスが分からないといった場合もある。また、調査の信頼性、信憑性等の観点からも第三者的立場である調査会社などに依頼することが有効である。これに伴い、実際に調査を実施するデジタル・フォレンジック調査会社の選定も重要なポイントとなる。価格だけでなく経験・品質を含めた総合的能力をもとに決定すべきである。

インターフェース

「境界」や「接点」を示す言葉であり、ITの分野においては、主に「ハードウェア同士の接点、あるいは接点となる機器類やプログラム」を意味する。具体的には、コンピュータとその周辺機器など、ハードウェア間で通信を行う際に必要となる物理的な接続の形状や仕様を指す。

インターフェースは、その情報通信の方式によって2種類に分けることができ、データを1ビットずつ順に送信する「シリアルインターフェース」とデータを一度に複数ビット送信する「パラレルインターフェース」がある。

前者に該当する規格としては「SATA」(Serial Advanced Technology Attachment)や「IEEE 1394」等が、後者に該当する規格としては、「SCSI」(Small Computer System Interface)や「IDE」(Integrated Drive Electronics)、「ATA」(Advanced Technology Attachment)等が挙げられる。

インターフェースは、証拠保全におけるデータコピーの可否や速度を左右する、重要な留意事項の一つである。例えば、HDDから直接データをコピーする場合、インターフェースによって接続形式が異なることから、各規格に応じた接続ケーブルを事前に用意しておく必要がある。また、データコピーの速度はインターフェースによって左右されるため、各規格のデータの転送速度も把握しておくことが望ましい。

類義語

  • インターフェイス
  • インタフェイス
  • interface
  • ハードウェアインターフェース
  • ハードウェアインターフェイス
  • ハードウェアインタフェイス
  • hardware interface

か行

書き込み防止装置

HDDなどの記録媒体にデータ書き込みを阻止する装置である。

フォレンジック調査では、証拠データの完全性と原本性を維持するために、調査・解析対象となるデータへアクセスする際には読み込み専用(ReadOnly)でアクセスし、データの書き込みを防がなければならない。書き込み防止装置はHDD等の記録媒体に対し、一切のデータの書き込みを無効とすることができるため、データの改変を回避し、安全なデータ閲覧が可能となる。

類義語

  • データ書き込み防止装置
  • write block
  • write blocker
  • write protector

拡張子

そのファイルが何のファイルなのか、どのアプリケーションで開けるのかについて識別するためにファイル名末尾に付与された文字列が拡張子である。

ファイル名の末尾の" . "(ピリオド)以降の文字が拡張子であり、Windows OSは拡張子をもとにファイルの種類を判別している。拡張子の例として、".xls"(エクセル書類)、".jpg"(jpeg画像)、".pdf"(PDF書類)などがある。

Windowsの初期設定では拡張子は非表示に設定されているため、参照するには設定変更が必要である。

不正事件では、証拠となるデータの拡張子を変更して隠蔽するケースなどがある。(ワードファイル".doc"の拡張子を変更し、画像ファイル".jpg"にするなど)

また、コンピューターウィルスの中には拡張子の見え方を偽装することでユーザーを騙し、ウィルスファイルを実行させようとするものもあり、拡張子を表示しない設定の場合、ウィルスの入った実行ファイル"Sample.txt.exe"は、"Sample.txt"と表示されるため、ユーザーはただのテキストファイルと思い、実行してしまうことがある。

さ行

証拠保全

証拠保全とは、一般に、民事訴訟や刑事訴訟の裁判などに用いる証拠を確保することを指す。

デジタル・フォレンジックにおいては、証拠保全は主に、対象となるPC内のHDD等のデータを全く書き換えることなく、完全な複製(HDD等の全領域のコピー)を取得する作業を指す。

適切に証拠保全した複製には、原本と同様の証拠としての価値が認められ得るが、そのためには証拠保全作業の信憑性および原本と複製の情報の同一性などが確保されていなければならない。

作業の信憑性を担保するためには、

  • 作業手順の記録を書類に残す
  • 作業状況をカメラ・ビデオで撮影する

などの記録化が必要とされており、原本と複製のデータの同一性を担保するためには、原本HDDと複製HDDのハッシュ値を求め、算出されたハッシュ値の比較による同一性検証が必要であり、いずれも、客観性と第三者再現性に配意した作業が行われなければならない。

類義語

  • Preservation of Evidence
  • 保全
  • 電磁的証拠の保全
  • Digital Evidence Preservation

セクタ

セクタとは、円盤状(磁気ディスク、光学ディスク等)の記憶装置のデータ書き込みの最小単位のことをいう。

円盤状のディスクの表面には、同心円状に分割されたトラックと呼ばれる領域があり、そのトラックをいくつかに分割して扇形となる部分をセクタと呼称する。セクタのサイズは、ファイルシステム等によりさまざまであるが、NTFSは一般に1セクタ512バイトとされている。また、昨今のハードディスクの大容量化に伴い、4Kセクター(1セクタ4096バイト)のものも登場している。

セクタは、データ書き込みの最小単位であるが、ファイルシステムでデータを管理する最小単位は、このセクタのいくつかの集合体であるクラスタと呼ばれる単位となる。NTFSのクラスタサイズは、一般に4,096バイトであり、8セクタ分の領域となる。セクタ単位で管理しない理由としては、OSがセクタ単位でデータを読み書きすると効率が悪くなるためである。

デジタル・フォレンジックにおいて、セクタサイズ、クラスタサイズからスラックスペースの残置データについて調査することが可能である。

類義語

  • セクター
  • ディスクセクタ

た行

第三者委員会

第三者委員会とは、対立関係にある当事者とは直接の利害関係をもたない中立的な第三者によって構成される調査委員会のことを指す。世論に大きな影響を与える不祥事や、事実究明が必要な事案が発生した際に設置される。

第三者委員会は、事案の原因を明らかにし、再発防止策への提言を行うため、専門的知見を備えたメンバー・チームで構成されている。

企業や官公庁が有する情報の多くは電子ファイルやメールなどの電子データのため、何らかの不祥事が発生した場合、それら電子データの解析が必要となる場合がある。しかしながら、電子データは揮発性が高く改変も容易のため、証拠性を失うことなく、調査・解析を行うためには、デジタル・フォレンジックに関する高い技術が必要となる。

近年、第三者委員会における電子データの調査は増えており、フォレンジックベンダーが第三者委員会もしくは第三者委員会の電子的解析部分の補助として参加し、原因の解明および客観的事実を記載した報告書を作成する機会が増えている。

デジタル・フォレンジック

デジタル・フォレンジック研究会では「インシデント・レスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術」と定義している。

出典:デジタル・フォレンジック研究会編『改訂版 デジタル・フォレンジック事典』2014年

また、コンピュータフォレンジックに限定するならば、調査対象となるHDD内のデータを全く書き換えることなく、完全な複製(HDD全領域のコピー)を改ざん・変更が困難な形式(イメージデータ)で作成(証拠保全)し、その複製したHDD内のデータを調査・解析することを指す。OS上で消去されているものの、HDD内にデータが残置している部分を復元し、調査・解析することも含まれる。

類義語

  • digital forensics
  • コンピュータフォレンジック
  • computer forensics
  • フォレンジック
  • forensics
  • ディジタルフォレンジクス
  • コンピュータ・フォレンジクス

は行

ハッシュ関数

ハッシュ関数とは、任意長のデータ “x” から、固定長のデータ “h(x)” に変換する関数のことを指す。このハッシュ関数で求められる値をハッシュ値という。

ハッシュ値は人間でいうDNAや指紋に相当し、非常に高い固有性を持っている。フォレンジック業界では、このハッシュ値の同一性をもって、データの改ざんや改変が生じていないことを担保している。

ハッシュ関数には大きな2つの特徴がある。一つはハッシュ関数によって求められた値“h(x)”から“x”を逆算することは非常に困難であるという点。もう一つはたとえ“x” が与えられたとしても、”h(x)=h(y)” となる “y” を求めることが困難である点である。ゆえにハッシュ関数によって求められたハッシュ値は非常に高い固有性を持ち、データの同一性を担保する値となりうる。

ハッシュ関数の代表例としては、MD5、SHA-1、SHA-256などがあるが、MD5は脆弱性が認められており、また日本においては2013年にSHA-1のアルゴリズムにも脆弱性があるとして、SHA-1を電子政府推奨暗号リストから運用監視暗号リスト入りされている。

MD5は異なるデータA・Bから同じハッシュ値を算出する方法は出回っているが、任意のハッシュ値からデータ列を再現することは容易に行えないことから、フォレンジック業界では現状においてもMD5がデータ同一性検証に用いられている。

巡回冗長検査(CRC)はハッシュ値の一種として扱われることもあるが、誤り検出符号の一種であるため、データ改ざんに対する耐性がない。

類義語

  • ハッシュ値
  • Hash値

フォーマット

HDD、USB、SDカード等の電子記憶媒体の「ファイルシステムの識別子」や「パーティション情報」、「ディレクトリやファイルの名前や構成情報」等の管理情報を保存する領域(以下、管理領域)の初期値を記録し、使用できる状態にすることを指す。

使用中の記憶媒体をフォーマットした場合、管理領域が初期化されてしまうため、保存していたデータをOS上から視認することができなくなる。

WindowsPCを用いてフォーマットを行う場合、管理領域の初期化だけでなく、不良セクタの診断も同時に行われる。また、オプションの「クイックフォーマット」を選択することで、不良セクタの診断を行わずに管理領域の初期化のみを行うこともでき、通常のフォーマットと比較して短時間でフォーマットを完了することができる。

デジタル・フォレンジックにおいては、フォーマットにより管理情報が初期化された電子記憶媒体を調査する場合、フォーマットがされてもデータ保存が可能な領域の上書き等は行われない場合もあるため、データ保存が可能な領域に残存データがあれば、フォレンジックツールや復元ソフト等を用いてデータを復元することが可能となる。

類義語

  • ディスクフォーマット

フォレンジックコピー

HDDやUSBメモリなどの全てのデータ領域をコピーすることをいう。

Windows上でコピー&ペーストなどによりファイルのコピーを実施する場合、OSで見えている現存するデータ等はコピーできても、削除データが存在する可能性のある領域や未使用領域はコピーすることができない。

一方、フォレンジックコピーでは、専用の機器やソフトウェアを使用することで、削除データ等が存在する可能性のある、未使用領域および未割り当て領域、データの管理情報等を含めた全てのデータ領域をコピーすることができる。そのため、フォレンジックコピーで取得したデータをもとにして、削除されたデータを復元することも可能となる。

フォレンジックコピーには大きくわけて2つの方式がある。一つは、完全なクローンを作成する「100%物理コピー」と呼ばれるコピー、もう一つは、対象のデータをイメージファイル形式で一定の容量に区切って取得する「イメージファイルコピー」と呼ばれるコピーである。両者は、見た目では異なるデータに見えるが、あくまでコピーの形式が異なるだけであり、コピーした結果として取得した中身は同一のものである。

上記の通り、フォレンジックコピーでは、通常取得できない削除されたデータ領域や隠されたデータ領域も取得することができるために、より多くの情報を確保することが可能である。この点において、フォレンジックコピーは「有用性」を担保しているといえる。

類義語

  • 完全複製
  • 物理複製
  • 物理コピー
  • Duplicate

ま行

マルウェア

コンピュータを不正に動作する目的で作成されたソフトウェア類の総称であり、トロイの木馬、コンピュータウィルス、ワーム、アドウェア、バックドア、スパイウェアなどが含まれる。

マルウェアの行動としては、コンピュータの乗っ取りやデータの盗難・破壊などの悪質なものから、ブラウザ上で望まない広告を頻繁に表示するものまで含まれる。

マルウェア対策としては、ファイアウォールの設定、ウィルス対策ソフトの導入、OS・アプリケーション類を常に最新に保つこと、メール内の不審な添付ファイルを開かない、などがある。

デジタル・フォレンジックにおいては、感染有無の調査、感染により不正な操作が実行されたか等の調査、感染範囲の特定、感染経路調査等がある。

類義語

  • Malware
  • malicious software
  • 悪意のあるソフトウェア
  • 不正ソフトウェア
  • 不正プログラム

R

RAID

複数のハードディスク(HDD)を組み合わせて1台のハードディスクとして管理・運用をする技術であり、アクセス速度の高速化や安全性の向上など冗長性の確保を目的とした仕組みを指す。実現手法としては、専用のハードウェアを使うものとソフトウェアを使うものが挙げられる。

RAIDは、その機能に応じて種類が分かれており、「RAID0」から「RAID6」までの7種類が存在するが、「RAID0」と「RAID1」を組み合わせた「RAID01」や「RAID10」といった種類も存在している。

  • 「RAID0」は、複数のHDDに均等にデータをそれぞれ振り分けていき、同時並行で記録を行う。「ストライピング」と呼ばれることもある。HDDが1台壊れた場合はデータが失われるため、「RAID0」には冗長性はない。
  • 「RAID1」は、2台のHDDに全く同一のデータを同時に記録する。「ミラーリング」と呼ばれることもある。全く同じデータを持つHDDが2枚つくられるため、冗長性が確保される。
  • 「RAID2」は、データに加えてエラー修正用のコードも別途記録する。最小構成の場合でも、データ用で2台、修正コード用で3台のHDDをそれぞれ要する。修正用コードにより、データ用のHDDが壊れてもデータを復旧できる仕組みになっており、冗長性が確保される。
  • 「RAID3」は、データに加えてデータ復旧のための情報(パリティ)も別途記録する。データ復旧のための情報を1台以上のHDDに記録し、合計で最低3台以上のHDDを使用する。パリティによって冗長性が確保される。
  • 「RAID4」は、「ストライピング」方式でデータを記録すると共に、パリティも別途記録する。データ復旧のための情報を1台以上のHDDに記録し、合計で最低3台以上のHDDを使用する。パリティによって冗長性が確保される。
  • 「RAID5」は、最低3台以上のHDDを使用し、均等にデータをそれぞれ振り分けていく。ハードディスクが1台故障しても、残るディスクからデータを復旧できるため、冗長性が確保される。
  • 「RAID6」は、「RAID5」と同様に、同時に最低3台以上のHDDを使用し、均等にデータをそれぞれ振り分けていくが、ハードディスクが2台故障しても、残るディスクから元のデータを復旧できるため、冗長性が確保される。

類義語

  • レイド
  • Redundant Arrays of Independent Disks
  • Redundant Arrays of Independent Drives
  • Redundant Arrays of Inexpensive Disks
  • Redundant Arrays of Inexpensive Drives
  • ディスクアレイ

U

USBメモリ

コンピュータのUSB(Universal Serial Bus)端子に接続して使用するフラッシュメモリを内蔵した外部記憶媒体の総称を指す。 伝送速度が規格によって異なり、世代ごとに伝送速度が異なる。

USB1.0 12Mbps
USB1.1 12Mbps
USB2.0 480Mbps
USB3.0 5Gbps
USB3.1 10Gbps

上記の数値はすべて「最大データ転送速度」である。

規格による伝送速度の違いにより、データコピー速度が異なるため、ソフトウェアベースで証拠保全を実施した場合、保全に要する時間が大幅に異なる場合がある。

機密データの持ち出し(情報漏えい)事案に対しては、依然としてUSBメモリが流出経路として用いられることも多く、USBメモリ等外部記録装置の接続履歴調査は有効な調査手法の一つとなっている。

類義語

  • USB memory
  • USBフラッシュメモリ
  • USB flash memory
  • USBドライブ
  • USB drive
  • USBストレージ
  • USBフラッシュドライブ
  • USB flash drive
  • USBスティック
  • USB stick
  • USBフラッシュ
  • USB flash
  • USBディスク
  • USB disk
  • UFD

W

Wipe

単語の意味としては拭く、ぬぐい落とす、消し去る、消すなどの意味を持っている。デジタル・フォレンジックにおいてWipeはWipe-out(データの消去)を意味し、データ消去方法には以下の3点が挙げられる。

  • ソフトウェア方式~記録媒体に特定の数字や文字等を書き込む

    • メリット:

      HDDの再利用が可能

    • デメリット:

      ゼロ、乱数、NSA(米国国家安全保障局)、NATO(北大西洋条約機構)、Gutmann(グートマン)等方式が多数ある

      データ復元の可能性を考慮すると複数回の書き込み(上書き)が推奨されるが、処理時間を必要とする

  • 磁気破壊方式~記録媒体に強力な磁気を照射し、機器自体を電磁的に破壊する

    • メリット:

      記録媒体の容量、インタフェース、OSに依存しない

    • デメリット:

      HDDの再利用及び目視確認が不可

  • 物理破壊方式~記録媒体に穴等をあけ物理的に破壊する

    • メリット:

      記録媒体の容量、インタフェース、OSに依存しない

    • デメリット:

      HDDの再利用は不可、破損していない箇所にデータが残る

Wipeの実施例としては、証拠保全の準備段階におけるデータコピー先HDDの事前のWipeが挙げられる。この作業はサニタイズと呼ばれ、コピー先HDDの微細なデータを残留させず、証拠保全データとの一切の混在を避ける目的で実施する。

また、HDDの残留データを原因とする情報流出を防ぐことが目的の場合、Wipeを適切に行えたかの確認は必須といえる。