Comments
Description
Transcript
証拠保全ガイドライン - デジタル・フォレンジック研究会
証拠保全ガイドラインの企業活用ポイントと 今後の整備推進指針 ネットエージェント株式会社 フォレンジック・エバンジェリスト 松本 隆 1・「証拠保全ガイドライン」の解説と 今後の展開 2 証拠保全ガイドライン • 特定非営利活動法人デジタル・フォレンジック研 究会 究会の、「技術」分科会デジタル・フォレンジック 「技術 分科会デジタ ジ ク スキル認定制度検討ワーキンググループで作 成 公開中のインシデント レスポンスの際の電 成、公開中のインシデント・レスポンスの際の電 磁的証拠の保全手続き(収集・取得・保全)ガイ ドライン • インシデントの現場で最初に対応を行うファース 象 ト・レスポンダーが主な対象 3 なぜ証拠保全ガイドラインが必要か • 企業、団体で独自の証拠保全を行っている実態 – 海外のガイドラインやトレーニングベースでの保全 海外のガイドラインやトレ ングベ スでの保全 • トレーニング環境や用いるツールに依存 • 全て英語の世界 – 日本の特殊な事情への対応の必要性 情 要 • 携帯端末、ノートパソコンの普及率 – 作成した電磁的証拠を相互に利用する機会の増加 • 証拠保管の一貫性( Chain of Custody) • ツールに依存する部分などの記述 ツ ルに依存する部分などの記述 4 ガイドラインの特徴 • 日本語であること • 日本の独自性(携帯端末やノートパソコンの高普及 日本の独自性(携帯端末やノ トパソ ンの高普及 率など)が考慮されていること • 海外の関連ガイドライン等と比べて矛盾がないこと • 技術者にとって理解しやすく使いやすいこと 5 ガイドラインの全体構成 • • • • • 第1章 第2章 第3章 第4章 第5章 事前に行う準備 インシデント発生直後の対応 対象物の収集・取得・保全 証拠保全機器の準備 証拠保全作業中 証拠保全作業後 証拠保全作業中・証拠保全作業後 6 さあ、ガイドラインを活用しよう!! あ、 ラ を活用 う ・・・といっても 7 ガイドラインを読んだ とあるマネ ジャ の感想 とあるマネージャーの感想 読んでもチンプンカ 読 も プ ンプン。何をすれば いいかわからない じゃないか! こんなこと社内で対 応したらコストがか かりすぎる 100%できないなら やらないのと同じ! 8 ガイドラインを読んだ とある現場担当者の感想 難しいなあ。 本当にここまでする 本 する 必要があるのかな 現場では迅速に対 応しろと言われる。 こんな時間はない 設備も人手も足り ない 当社では ない。当社では 無理だ 9 第 版の内容について※ 第一版の内容について※ • ターゲットは現場の技術者(ファースト・レスポンダー、情報 システム管理者) – どこまでやるかは確かに悩みどころ – 眼に見える技術的課題はクリアしておきたいが・・・ • ややまだ冗長なところがあったり表記ゆれが見受けられる。 部不足して る項目も 一部不足している項目も • しかしまずは世に出して「意見」が欲しかった しかしまずは世に出して 意見」が欲しかった – 原案は多くの意見をいただき大量に修正 • 今後利 今後利用される中で不都合があれば比較的ショートター される中 都合があれば比較的シ タ ムで改善していきたい ※上原哲太郎 「証拠保全ガイドライン(第1版)の解説」より 10 「証拠保全ガイドライン」 証拠保 ラ 」 今後の展開について※ • 第二版の作成に向けて – 明らかなバグ取り – その後頂いた意見等への対応 • 特に「法曹界からの見え方」への対応が必要。ただあ くまで出力はガイドラインでなく実際の証拠+CoC(証 拠保管 連続性)な 拠保管の連続性)なので事例がたまってからが勝負? 事例がたま からが勝負 その後頂いた意見等への対応 • 実務者へのインタビュー 実務者へのインタビ – 他のガイドラインとの連携 – ISO27037などの動きとの連携 • ご意見をお願いいたします! ※上原哲太郎 「証拠保全ガイドライン(第1版)の解説」より 11 2・「証拠保全ガイドライン」を 活用するためのポイント 12 対応はできるところから とりあえず今回のイン シデントでは+30点は 対応できた!問題点を 改善して次は+50点を 目指そう 何だ30点しかでき てないのか。これで は 70点だ は-70点だ。 やらない方がいい 13 証拠保全プロセスの評価と改善 証拠保全計画 証拠保 計画 各種手順書の作成 より効率的で組織に合致 する計画や手順へ 計画 改善 作業記録から 保全計画と手順の評価 実施 保全計画や手順書に 従 た作業とその記録 従った作業とその記録 評価 14 効率的な証拠保全 保全現場では手順書に 従って作業し、結果を含 めた正確な記録を取得 確 記録を 得 します! 計画や手順書の評価と 改善を徹底して行います。 15 ガイドラインを参考にした ラ を参考 証拠保全の基本的な考え方 • そのまま( そのまま(As‐is)で、収集(Collection)・取得 s s)で、収集( o ec o ) 取得 (Acquisition)し、保全(Preservation) – 原本データを(できるかぎり)書き換えない作業 – 正確な作業記録の作成 – 適切な証拠の管理 この3つを押さえるだけ! 16 原本を書き換えない作業 • 手順書に従った作業 – – – – • ツ ルの活用 ツールの活用 – – – – • 図などを盛り込んだ誰にでも分かりやすい手順書 手順書の品質のレビューは別途必要 作業時は手順書の実施状況をチ ック 作業時は手順書の実施状況をチェック 作業時のミスやエラーを正確に記録 書き込み防止装置「Write Blocker(Protect)」 複製機器(デュプリケーター) 調査ソフトウェア 査 ウ 専用ベンダーのツールと一般のツール(オープンソース含む) 原本の“正確なコピー” = 複製 を作成 – – – – – 適切な広さ、施錠可能な作業スペース ワイプ(消毒処理)されたHDD 可能なかぎりハッシュ値を取得 解析は複製物を対象 原本の返却準備(業務の継続 私物等) 原本の返却準備(業務の継続、私物等) 17 正確な作業記録の作成 • 原本の記録 – 原本のラベル情報、セキュリティ設定など – 作業時のミスやエラーを含めた正確な記録 作業時 や ラ を含めた 確な記録 – 原本の状態についての記録 • 作業状況の記録 – – – – – – 手順書に従った作業かどうか 誰が、何時、どのような操作を行ったか 記録と立会人の署名 ツールのログ 写真と動画 アナログとデジタル • 調査の標準時 – 電磁的証拠の時間と保全作業の時間 18 適切な証拠の管理 • 証拠の施錠管理 – 証拠物は適切な関係者しか扱えない – (関係者による)取り扱いの記録 • 識別 – 案件ごとの識別タグ、ラベル – ハッシュ値での確認 • 封印 – (必要に応じて)証拠の梱包・封印 – 複数人での作業と確認 • 物理的な管理と対策 – 電磁波、静電気、埃 – 温度、湿度、直射日光 – 輸送時の振動、盗難対策 19 証拠保管の 貫性(Ch i off Custody) 証拠保管の一貫性(Chain C t d ) ハッシュ値 ハッシュ値 証拠 複製 客観的な作業記録の取得 複製 ハッシュ値 適切な証拠管理 20 将来的には・・・ 将来的には • 自分たちを守るためのフォレンジックの活用 – 法令を順守していること – 社会的責任への取り組み – 不正行為を行っていないこと どこまでやるかの相場観が必要 21 証拠保全の品質をより高めるために • QUALITY ASSURANCE※ – – – – – – – – 人員 能力要件 十分なテスト ドキュメンテ ション ドキュメンテーション 設備 合法化 作業 ペ 作業スペース 監査 • ISO17025 – 品質マネジメントシステム+技術的要求事項 ※GUIDELINES FOR BEST PRACTICE IN THE FORENSIC EXAMINATION OF DIGITAL TECHNOLOGY DRAFT V1.0 「3.Quality Assurance」 より http://www ioce org/fileadmin/user upload/2002/Guidelines%20for%20Best%20Practices%20in%20E http://www.ioce.org/fileadmin/user_upload/2002/Guidelines%20for%20Best%20Practices%20in%20E xamination%20of%20Digital%20Evid.pdf 22