デジタルフォレンジックとは・・・

1. デジタル機器などに対してデータ収集・証拠保全をおこなう。
2. 過去の履歴やデータの内容などを詳細に調査する。
3. そして調査結果を証明する。

略して「フォレンジック」や、「フォレンジック調査」と言うこともあります。
また、文書においては頭文字をとってDF（ディーエフ）と表記されることもあります。

【補足】厳密に言いますとデジタルフォレンジックという用語にはとても細かく意味が定義されているのですが、このページでは「わかりやすさ」を優先し、一般の方にとって難しい説明をなるべく省略します。

私達の身の回りにはITが溢れ、そしてITに関連する事故や犯罪などが日常的に発生しています。

ITの事故や犯罪（サイバー・インシデント）が発生したとき、損害が軽微な場合は仕方なしに泣き寝入りすることもありますが、損害が重い場合にはそうもいかず、原因解明のための調査や、法的措置のための証拠収集を必要とされることが多いです。

また、ITが直接に関係していない犯罪、例えば殺人事件や詐欺事件などの場合でも、犯人が使用したスマホやパソコンを調べるケースは多いです。

それらのような調査において役立つのが、デジタルフォレンジックの手法・技術です。

上図の左側のような目的（事故対応、証拠収集、原因解明など）で、図の右側のような機器（パソコン、スマホ、サーバーなど）を調べるときに、デジタルフォレンジックの手法・技術を用いた調査がおこなわれます。ちなみに当社では、デジタルフォレンジックの調査業務を「フォレンジック調査」というサービス名称で提供しております。

下図の上側のように、データ復旧という大きな括りの中にフォレンジックがあるように認識されている方が意外と多いですが、それは誤解です。

フォレンジックとデータ復旧はそれぞれ別の分野です。ただし、図の下側のオレンジ色の領域（フォレンジックとデータ復旧が重なる箇所）が示すように、両者で共通する技術を用いることが度々あります。
例えば・・・

• フォレンジックにおいて、証拠隠滅されたデータを復旧させるときや、犯人に破壊された機器からデータを収集するときなどに、データ復旧と同じ技術が用いられます。
  言い換えると、調査するためにデータ復旧する、ということです。
• データ復旧において、データの原本の復元が難しいときに、原本の写しのデータを探索するためフォレンジックと同じ技術が用いられます。
  言い換えると、データ復旧するために調査する、ということです。

上記は代表的な事例です。この他にも、契約トラブルへの対応、お子様のネットトラブルへの対応、失踪者の行方を探すときなど、本当に様々なケースでフォレンジック調査が活用されています。世の中にはITが溢れており、様々なトラブルにおいてITが関連するため、フォレンジック調査の利用シーンも様々です。
下記リンク先のページで、よくある事例だけでなく珍事件など多数の調査事例を掲載しております。

→ まるわかり解説②『フォレンジック調査の事例』

デジタルフォレンジックと一口に言っても、その対象機器や手法などによって色々な種類のフォレンジック方法があります。

なぜこのように沢山のフォレンジック方法があるのかというと、依頼者ごと／案件ごとに適切なフォレンジックは異なるからです。 機器の種類／部品の種類は様々で、その使い方や使用環境も様々です。さらに、事故や犯罪が起こった背景・事情も様々ですし、依頼者の目的（どのような解決を望むか）も様々です。様々な案件に対応できるよう色々なフォレンジック方法がある、というわけです。

どのような時に、どのようなフォレンジックが適切かについて、次項で説明します。

フォレンジック調査は、どの案件でも画一的に同じ方法を用いるのではなく、事案に合わせて適切な方法を選択する必要があります。しかも選択する方法は一つだけとは限りません。現代ではシステムやセキュリティが複雑化しているため、一つの案件に対して１種類のフォレンジック方法だけでは対応できないケースがかなり増え、複数のフォレンジック方法を順番に実施する、または組み合わせて「クロスオーバー」させるということが多くなりました。そして順番はどうするべきか、何と何をクロスオーバーさせるか、出鱈目の当てずっぽうでやると調査の進行が破綻してしまうので、事前に調査計画を立てるのに相当な知識と経験が必要になっています。

①対象物の特性、　②使用環境の特性、　③事案の背景・状況、　④依頼者の目的や事情、これらのような事案ごと個別の性質に合わせてフォレンジック方法を選択しないと、無理、無駄、不足などが生じる恐れがあり、最悪は調査不能になるリスクもあります。そうならないようフォレンジック調査会社では、常に新しい技術を学習・研究し続けてフォレンジック方法の幅を広げつつ、それを実行する機材や人材を確保・維持し、様々な事案に対応できる体制を保ち続けています。

フォレンジック調査会社の選び方は、一つ前で述べた「フォレンジック方法の選び方」と似ていて、状況や目的に合わせて調査会社を選択することとなります。

※重要な注意点※
ログ（履歴）は時間経過で徐々に消えていきます。

コンピュータのログ（履歴データ）は、新しい日時の記録が書き込まれる時に、一番古い日時の記録が消える、という仕組みになっています。『自分にピッタリの調査会社を見つけたい』と探しまわるのは良いのですが、そうしている間にもじわじわとログが消えていくのです。

ログ消失を防ぐため、理想を言えば即刻に証拠保全すべきなのですが・・・
納得いくまで調査会社を探し続けるべきか、即座に調査をスタートさせるべきか、非常に悩ましいことだと思います。

1. 【標準】通常のフォレンジック調査：
   ６０万円～１２０万円
2. 【簡易】調査項目を絞り込める場合：
   ２０万円～４０万円
3. 【高難易度】大規模調査などの場合：
   数百万円

ちなみに当社は中小企業や個人を主なターゲット層としておりますので、相場より低めの料金設定のサービスをご用意しております。

• マルウェア調査：１１万円～
• Windowsパソコンのファストフォレンジック：２２万円～

• 標準的な調査期間：２～３週間
• 早いプランの場合：即日～１週間

ちなみに当社のファストフォレンジック「Dr.セキュリティ - FFS」では、最短即日報告を可能にしております。（詳しくは下のリンク先でご案内）

1. データ収集・証拠保全
2. 検査
3. 分析・解析
4. 報告

１．データ収集・証拠保全

第一に、調査対象の物から調査に必要なデータを収集し、第二に、そのデータを証拠保全します。上の画像はパソコンに対する作業の見本写真です。見本ではわかりやすく専用ハードウェアを使用していますが、ソフトウェアでおこなうこともよくあります。ハード／ソフトのどちらが良いかはケース・バイ・ケースです。

２．検査

収集したデータに破損や不具合がないか確認した後、インシデントに関連し得る異常な点・不審点などを探します。
例１：マルウェア（ウイルス）の事案の場合は、不審なファイルや設定などを探します。
例２：不正アクセス事案の場合は、不審なエラーやログイン履歴を探します。

３．分析・解析

検査で発見された異常・不審な点に関して調査を進め、インシデントの一連の経緯や結果を明らかにしていきます。
ここでは「分析」・「解析」と２つの言葉を書きましたが、実際には便宜のため「解析」とだけ言うこと／書くことが多いです。分析と解析の違いについては、ほとんどの人にとって「どうでもいいこと」だと思いますので、ここでは割愛します。（機会があればどこかで説明したいと思います。）

４．報告

当社では下記２つをもって報告としております。
１，報告書の提出（一部のサービスは口頭報告）
２，証拠保全媒体の提出（HDD、USBメモリ、CD-R）

他社では２番の証拠保全媒体を省略またはオプションとしている調査会社もあるようですが、当社では下記２つの理由から原則提出と定めております。
【理由１】後から再検証できるようにし、調査の透明性を高めるため。
【理由２】ずさんな調査、でたらめな報告など、いわゆる手抜きを防ぐため。
平たく言うと、胸を張って「ちゃんと調べました」と示せるよう、証拠保全媒体を原則提出としております。

フォレンジック調査をおこなう人のことをフォレンジックエンジニアと言います。
ただしフォレンジックエンジニアという用語は、けっこう曖昧な言葉です。具体的な内容は定められてなく、ぼんやりと広い範囲で、フォレンジックに関係する技術者のことをまとめてフォレンジックエンジニアと言われています。
SE（システムエンジニア）という用語に似ています。ITシステムに関係する人のことをまとめてSEと言いませんか？　それと同様です。

実務においては少し解像度を上げて、下記のように分類されることもあります。

１，フォレンジック・マネージャー（管理者・監督者）

２，フォレンジック調査員

３，フォレンジック・アナリスト

説明のために上記３つに分類しましたが、実際には明確に分かれていないことも多いです。一人のフォレンジックエンジニアが１から３まで全部やる事が多いですし、複数名のチームで調査する場合でも、全員が並列で調査業務に当たることも多いです。

フォレンジック調査に関わる人はフォレンジックエンジニアだけとは限らず、他の分野の専門家が調査に加わることもしばしばあります。例えば調査の途中で次のようなことが分かった場合、それぞれの適任者を頼ることがあります。

• 調査範囲の中に重度の物理障害などの難点が見つかった場合、修理やデータ復旧のスペシャリストを頼る。
• 汎用製品ではない独自設計のシステムなど、プロプライエタリ（独占的かつ非公開）な形式のデータの調査を要する場合、その開発元やベンダーに協力を求める。
• ダークウェブへの流出可能性が見つかった場合、ダークウェブ調査のスペシャリストを頼る。

このページはデジタルフォレンジックを「学んでみたい」と思った人にも読まれそうな気がしましたので、入門の前に知っておいたほうが良いことを書きます。

デジタルフォレンジックは幅広い知識・技術が必要な分野です。
下の図を見て下さい。

この図が示すように、デジタルフォレンジックはITおよびセキュリティの基礎の上に乗るものですので、それらの前提知識が無いとデジタルフォレンジックを学ぶのは無理があります。実際、デジタルフォレンジックの講座やトレーニングサービスでは、前提知識ゼロの人が申し込むのを防ぐために、何かしら受講要件を定めていることがほとんどです。

そのため入門の前に前提知識（ITとセキュリティの基礎知識）を身につけておく必要があります。下記６つの項目をご覧ください。

1. PCハードウェアの基礎知識
2. Linuxに関する基礎知識
3. プログラミングスキル
4. ネットワークやインフラの基礎知識
5. サーバやシステムの基礎知識
6. マルウェアやサイバー攻撃の基礎知識

もし全項目知識ゼロというPCビギナーの人は、次に記す流れで学習すると一通り身につくはずです。

1. パソコンを自作する　→　PCハードウェアの基礎知識が身につく
2. LinuxとWebサーバをインストールする　→　Linuxとサーバの基礎知識が身につく
3. Webに公開する　→　ネットワークやインフラの基礎知識が身につく
4. Webアプリケーション作る　→　プログラミングとシステムの基礎知識が身につく
5. サイバーセキュリティの講座を受講する（入門編／初級編などで十分です）
6. Webアプリケーションを自分で攻撃する　→　サイバー攻撃の雰囲気が分かる

正直に言いますと、私はフォレンジックの「定番の勉強法」を知りません。
私の場合、スキマ時間に少しずつ長い年月をかけて独学したため、教育機関で体系的に学んだ経験が無いので勉強法を知らないのです。

セキュリティ業界では「SANSで学んだ」という方が多いので、もしかしたらそれが定番なのかなぁと思っております。
【SANS-JAPAN】 https://www.sans-japan.jp/

SANSの他にも、サイバーセキュリティの会社によるトレーニングサービスがありますし、学校や教育サービス企業などによる講座もあります。ITの基礎を一通り習得しているならば、いくつかの講座やトレーニングを受けるだけでもフォレンジックの基礎が身につくはずです。

日本で有名なのは、NPOデジタルフォレンジック研究会が提供する「CDFP」です。
CDFPには下記３種類の資格があります。

1. CDFP-B（基礎資格）
2. CDFP-P（実務者資格）
3. CDFP-M（管理者資格）

海外の資格に目を向けますと、世界的に最も有名なのは米国のSANS（サイバーセキュリティ教育の企業）が提供する「GIAC」です。フォレンジック関連の資格では「GCFA」や「GCFE」など色々あるようですが、私は英語力が無いため受験したことがないので内容はわかりません。ただし、周囲のエンジニアでGIACのフォレンジック資格を持っている方は優秀な人ばかりですので、良い資格なのだろうなぁと感じています。

フォレンジック調査をおこなうためには「フォレンジックツール」が必要です。その種類は様々ですが、大別すると「データ収集」と「解析」の２つに別れます。

フリーソフトだけでもフォレンジック調査がまったく不可能というわけではないのですが、しかし業務用ツールを使ったほうが断然に作業効率も調査精度も良いです。例えば何台ものPCを調査するとき、業務用ツールなら自動処理により手間を大幅に減らせますが、無料ツールだと１台ずつちまちま手作業することになります。そのため、学習や研究用途では無料のフォレンジックツールが用いられることも多いですが、実際の案件対応ではスピードや正確さのために業務用ツールを用いることがほとんどです。

当社はフォレンジック調査サービスを提供するだけでなく、自社でフォレンジックツールの開発もおこない、調査費用の低価格化およびコストパフォーマンスの向上へと繋げております。

そして独自開発したツール群を用いて「最短即日報告」＆「調査費用５０％以上削減」のファストフォレンジックのサービスを提供しております。
詳しくは下記リンク先のサービス案内をご覧ください。