ガイドラインの概要
「証拠保全ガイドライン」は、NPO法人デジタル・フォレンジック研究会が策定する、電磁的証拠の保全手続きに関するガイドラインです。2010年の初版から改訂を重ね、2025年3月に第10版が公開されました。
セキュリティインシデントが発生した際、CSIRTや情シス部門が専門業者に調査を依頼する前に、証拠を適切に保全するための手順と留意事項をまとめています。第10版ではクラウドサービスに関する項目が新設されました。
インシデント発生前の準備
- 活動プロセス・体制の確立:証拠保全の担当者(ファーストレスポンダ)の指定と役割の明確化
- 資器材の準備:証拠保全ツール(書込防止装置、フォレンジックイメージング用ソフトウェア等)の選定と事前テスト
- ログ取得の設計:OS、ネットワーク機器、アプリケーション、クラウドサービスのログ取得設定と保存期間の確保
- Chain of Custody(CoC):証拠の管理記録シートのテンプレートを事前に準備
初動対応
- システム時計の正確性確認:OS・ハードウェアクロックの時刻を記録(証拠のタイムスタンプの信頼性に直結)
- 揮発性データの優先取得:メモリダンプ、ネットワーク接続情報、プロセス一覧など、電源を切ると失われるデータを最優先で取得
- 証拠の改変防止:対象端末への不要な操作を避け、書込防止装置を使用してディスクイメージを取得
- 記録の徹底:すべての操作を時系列で記録し、CoCシートに記入
証拠の収集・保全
| 保全対象 | 取得方法 | 留意点 |
|---|---|---|
| ディスクイメージ | 書込防止装置経由でフルコピー | ハッシュ値(SHA-256等)で原本同一性を担保 |
| メモリダンプ | 専用ツールで物理メモリを取得 | 揮発性データのため最優先で取得 |
| ネットワークログ | ファイアウォール、プロキシ等から取得 | NTP同期で時刻の正確性を確保 |
| クラウドサービスログ | 管理コンソールまたはAPIから取得 | 保存期間の制約に注意(自動削除される場合あり) |
原本同一性の確保が最重要です。取得したイメージのハッシュ値を記録し、後日の検証で改変がないことを証明できるようにします。
クラウドフォレンジック
第10版で新設されたクラウドフォレンジックの項目では、以下が整理されています。
- クラウド環境では物理ディスクの取得が困難なため、ログベースの証拠保全が中心となる
- SaaS/IaaS/PaaSの各サービスモデルで取得可能なログの種類と範囲が異なる
- クラウドサービス提供者との契約でログの保存期間や提供条件を事前に確認する必要がある
- マルチテナント環境での証拠の分離・特定の困難さに対する留意事項
まとめ
証拠保全ガイドライン第10版は、デジタルフォレンジックの準備から初動対応、証拠の収集・保全、クラウドフォレンジックまでを体系的にまとめたガイドラインです。インシデント発生前にファーストレスポンダの指定、ツールの準備、CoCシートのテンプレート整備を行っておくことが重要です。