...

証拠保全ガイドライン - デジタル・フォレンジック研究会

by user

on
Category: Documents
26

views

Report

Comments

Transcript

証拠保全ガイドライン - デジタル・フォレンジック研究会
証拠保全ガイドラインの企業活用ポイントと
今後の整備推進指針
ネットエージェント株式会社
フォレンジック・エバンジェリスト
松本 隆
1・「証拠保全ガイドライン」の解説と
今後の展開
2
証拠保全ガイドライン
• 特定非営利活動法人デジタル・フォレンジック研
究会
究会の、「技術」分科会デジタル・フォレンジック
「技術 分科会デジタ
ジ ク
スキル認定制度検討ワーキンググループで作
成 公開中のインシデント レスポンスの際の電
成、公開中のインシデント・レスポンスの際の電
磁的証拠の保全手続き(収集・取得・保全)ガイ
ドライン
• インシデントの現場で最初に対応を行うファース
象
ト・レスポンダーが主な対象
3
なぜ証拠保全ガイドラインが必要か
• 企業、団体で独自の証拠保全を行っている実態
– 海外のガイドラインやトレーニングベースでの保全
海外のガイドラインやトレ
ングベ スでの保全
• トレーニング環境や用いるツールに依存
• 全て英語の世界
– 日本の特殊な事情への対応の必要性
情
要
• 携帯端末、ノートパソコンの普及率
– 作成した電磁的証拠を相互に利用する機会の増加
• 証拠保管の一貫性( Chain of Custody)
• ツールに依存する部分などの記述
ツ ルに依存する部分などの記述
4
ガイドラインの特徴
• 日本語であること
• 日本の独自性(携帯端末やノートパソコンの高普及
日本の独自性(携帯端末やノ トパソ ンの高普及
率など)が考慮されていること
• 海外の関連ガイドライン等と比べて矛盾がないこと
• 技術者にとって理解しやすく使いやすいこと
5
ガイドラインの全体構成
•
•
•
•
•
第1章
第2章
第3章
第4章
第5章
事前に行う準備
インシデント発生直後の対応
対象物の収集・取得・保全
証拠保全機器の準備
証拠保全作業中 証拠保全作業後
証拠保全作業中・証拠保全作業後
6
さあ、ガイドラインを活用しよう!!
あ、
ラ
を活用
う
・・・といっても
7
ガイドラインを読んだ
とあるマネ ジャ の感想
とあるマネージャーの感想
読んでもチンプンカ
読
も
プ
ンプン。何をすれば
いいかわからない
じゃないか!
こんなこと社内で対
応したらコストがか
かりすぎる
100%できないなら
やらないのと同じ!
8
ガイドラインを読んだ
とある現場担当者の感想
難しいなあ。
本当にここまでする
本
する
必要があるのかな
現場では迅速に対
応しろと言われる。
こんな時間はない
設備も人手も足り
ない 当社では
ない。当社では
無理だ
9
第 版の内容について※
第一版の内容について※
• ターゲットは現場の技術者(ファースト・レスポンダー、情報
システム管理者)
– どこまでやるかは確かに悩みどころ
– 眼に見える技術的課題はクリアしておきたいが・・・
• ややまだ冗長なところがあったり表記ゆれが見受けられる。
部不足して る項目も
一部不足している項目も
• しかしまずは世に出して「意見」が欲しかった
しかしまずは世に出して 意見」が欲しかった
– 原案は多くの意見をいただき大量に修正
• 今後利
今後利用される中で不都合があれば比較的ショートター
される中
都合があれば比較的シ
タ
ムで改善していきたい
※上原哲太郎 「証拠保全ガイドライン(第1版)の解説」より
10
「証拠保全ガイドライン」
証拠保
ラ
」
今後の展開について※
• 第二版の作成に向けて
– 明らかなバグ取り
– その後頂いた意見等への対応
• 特に「法曹界からの見え方」への対応が必要。ただあ
くまで出力はガイドラインでなく実際の証拠+CoC(証
拠保管 連続性)な
拠保管の連続性)なので事例がたまってからが勝負?
事例がたま
からが勝負
その後頂いた意見等への対応
• 実務者へのインタビュー
実務者へのインタビ
– 他のガイドラインとの連携
– ISO27037などの動きとの連携
• ご意見をお願いいたします!
※上原哲太郎 「証拠保全ガイドライン(第1版)の解説」より
11
2・「証拠保全ガイドライン」を
活用するためのポイント
12
対応はできるところから
とりあえず今回のイン
シデントでは+30点は
対応できた!問題点を
改善して次は+50点を
目指そう
何だ30点しかでき
てないのか。これで
は 70点だ
は-70点だ。
やらない方がいい
13
証拠保全プロセスの評価と改善
証拠保全計画
証拠保
計画
各種手順書の作成
より効率的で組織に合致
する計画や手順へ
計画
改善
作業記録から
保全計画と手順の評価
実施
保全計画や手順書に
従 た作業とその記録
従った作業とその記録
評価
14
効率的な証拠保全
保全現場では手順書に
従って作業し、結果を含
めた正確な記録を取得
確 記録を 得
します!
計画や手順書の評価と
改善を徹底して行います。
15
ガイドラインを参考にした
ラ
を参考
証拠保全の基本的な考え方
• そのまま(
そのまま(As‐is)で、収集(Collection)・取得
s s)で、収集( o ec o ) 取得
(Acquisition)し、保全(Preservation)
– 原本データを(できるかぎり)書き換えない作業
– 正確な作業記録の作成
– 適切な証拠の管理
この3つを押さえるだけ!
16
原本を書き換えない作業
•
手順書に従った作業
–
–
–
–
•
ツ ルの活用
ツールの活用
–
–
–
–
•
図などを盛り込んだ誰にでも分かりやすい手順書
手順書の品質のレビューは別途必要
作業時は手順書の実施状況をチ ック
作業時は手順書の実施状況をチェック
作業時のミスやエラーを正確に記録
書き込み防止装置「Write Blocker(Protect)」
複製機器(デュプリケーター)
調査ソフトウェア
査
ウ
専用ベンダーのツールと一般のツール(オープンソース含む)
原本の“正確なコピー” = 複製 を作成
–
–
–
–
–
適切な広さ、施錠可能な作業スペース
ワイプ(消毒処理)されたHDD
可能なかぎりハッシュ値を取得
解析は複製物を対象
原本の返却準備(業務の継続 私物等)
原本の返却準備(業務の継続、私物等)
17
正確な作業記録の作成
• 原本の記録
– 原本のラベル情報、セキュリティ設定など
– 作業時のミスやエラーを含めた正確な記録
作業時
や ラ を含めた 確な記録
– 原本の状態についての記録
• 作業状況の記録
–
–
–
–
–
–
手順書に従った作業かどうか
誰が、何時、どのような操作を行ったか
記録と立会人の署名
ツールのログ
写真と動画
アナログとデジタル
• 調査の標準時
– 電磁的証拠の時間と保全作業の時間
18
適切な証拠の管理
•
証拠の施錠管理
– 証拠物は適切な関係者しか扱えない
– (関係者による)取り扱いの記録
•
識別
– 案件ごとの識別タグ、ラベル
– ハッシュ値での確認
•
封印
– (必要に応じて)証拠の梱包・封印
– 複数人での作業と確認
•
物理的な管理と対策
– 電磁波、静電気、埃
– 温度、湿度、直射日光
– 輸送時の振動、盗難対策
19
証拠保管の 貫性(Ch i off Custody)
証拠保管の一貫性(Chain
C t d )
ハッシュ値
ハッシュ値
証拠
複製
客観的な作業記録の取得
複製
ハッシュ値
適切な証拠管理
20
将来的には・・・
将来的には
• 自分たちを守るためのフォレンジックの活用
– 法令を順守していること
– 社会的責任への取り組み
– 不正行為を行っていないこと
どこまでやるかの相場観が必要
21
証拠保全の品質をより高めるために
• QUALITY ASSURANCE※
–
–
–
–
–
–
–
–
人員
能力要件
十分なテスト
ドキュメンテ ション
ドキュメンテーション
設備
合法化
作業 ペ
作業スペース
監査
• ISO17025
– 品質マネジメントシステム+技術的要求事項
※GUIDELINES FOR BEST PRACTICE IN THE FORENSIC EXAMINATION OF DIGITAL TECHNOLOGY DRAFT V1.0 「3.Quality Assurance」 より
http://www ioce org/fileadmin/user upload/2002/Guidelines%20for%20Best%20Practices%20in%20E
http://www.ioce.org/fileadmin/user_upload/2002/Guidelines%20for%20Best%20Practices%20in%20E
xamination%20of%20Digital%20Evid.pdf
22
Fly UP