1.ディジタルフォレンジックスとは
情報セキュリティスペシャリスト試験を含む情報処理技術者試験では、ディジタルフォレンジックス(Digital Forensics) と コンピューターフォレンジクス(Computer Forensics)の両方の言葉が使われています。どちらも同じと考えてください。
 
過去問(平成27年春AP午前問43)では、ディジタルフォレンジックスの説明として,「不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を確保できるように,原因究明に必要なデータの保全,収集,分析をすること」と述べられています。また、コンピュータフォレンジクスというキーワードでは、「不正アクセスなどコンピュータに関する犯罪の法的な証拠性を明らかにするために,原因究明に必要な情報を収集して分析すること (SV平成18年午前 問44)」とあります。
Forensicとは「法廷の」という意味であり、法的な証拠を残すと考えてもいいでしょう。

2.過去問を見てみましょう
過去問(H19NWPM2-1)を見てみましょう。
 次は,フォレンジックシステムに関する,M氏とN君の会話である。
M氏:システムログでは,例えば,特定データへのアクセスや,メールを送ったのがだれかというレベルの状況証拠的な記録は取れるが,実際の内容が分からないと,事故の調査・分析の証拠としては不十分なんだ。
N君:そうですね。最近はそうした問題を解決し,より高い証拠能力を確保するフォレンジック製品が注目されているようです。フォレンジックとは"法廷の"という意味で,あまり聞いたことがない言葉ですが,ディジタルデータの証拠保全,証拠収集のための活動や機能のことだそうです。
M氏:よく勉強しているようだね。それでは,当社で保存したい情報を,どこで,どのようにして採取するか考えてみよう。
フォレンジックシステムでは,ネットワーク上を流れる必要なパケットをすべて採取するフォレンジックサーバ(以下,  FSという)を設置する。
なお,FSの設置場所が適切でないと,期待する情報を採取できない。
sef4 

フォレンジックとは、具体的には何をするのですか?

HPが改ざんされたり、不正侵入されて情報が盗まれたときを考えましょう。このとき、その原因および被害を把握するために証拠を集めます。
まずは、データの保全をします。インシデント発生時点のハードディスクをコピーしたりして、完全にその状態を保存しておきます。メモリ空間も大事です。コマンド履歴などが残っているからです(これはメモリにしか記憶されていない)。きちんと保全しておけば、削除したファイルも、ハードディスクには残っています。それを復元して調査ができます。
次は、その証拠をもとに、不正侵入の事象・経路、被害の影響などを調査する。
 
再掲ではあるが、インシデント発生後の対応手順については、H22SC春午後Ⅱ問2がとても参考になる。 その中で、コンピュータフォレンジックに関する部分を抜粋する。
IRTでは,インシデント対応を円滑に行うためにIRTメンバ向けのインシデント対応マニュアルを作成することとし,その具体的な内容として図4に示す各項目を検討した。
(中略)
(3)ログなどにおける異常事象の分析
(4)インシテント発生時の初期対応と作業の記録
(5)インシデントの証拠収集
(中略)
図4 1RTメンバ向けのインシデント対応マニュアルに記載する内容

(中略)

図4中の(3)については,情報システム課と共同でシグネチャベースのIPS(侵入防止システム)をDMZに導入し,攻撃を受ける可能性が高いDMZ上のサーバヘの脅威を分析することとした。開発系システムにもIPSの導入を検討したが,予算が厳しいことと,インターネットに対して公開しているサーバがないことから今年度の導入は見送った。ただし,開発系システムのFWのログについては定期的な分析を行うことにした。

(中略)

図4中の(5)は,いわゆるコンピュータフォレンジクスの技法についての検討である。インシデント発生時の被害の内容及び範囲の確認並びに発生原因の調査のために必要な情報を確実に保全し,発生した事象を様々な要素から解明することが目的である。 IRTでは,ネットワークのインシデントに関する情報はIPS及びFWでの監視並びにログの取得を行うことで保全することとした。また,コンピュータに接続された記憶媒体上の情報は専用の機器を導入して保全できるようにした。保全された情報は,IRTが分析を行うことにした。

3.ログ分析とフォレンジックの違い
8412ebbb 

初歩的な質問ですが、ログ分析とフォレンジック分析は別物ですか?
ログ分析は、あくまでもログだけ。フォレンジック分析はログ以外も対象にしている。
フォレンジック解析とログ分析_情報セキュリティスペシャリスト試験
2 

多くの企業は、フォレンジックなんてやっていないと思います。ログ分析だけではだめなのですか?
ログは一部の情報しか出力されない。ログだけでは分からないから、実際のファイルやレジストリなどを確認する。たとえば、ログに、「あるファイルにアクセスした」とあれば、そのファイルが機密情報なのか、確認する必要がある。「ファイルを置いた」とあれば、それがウイルスなどの悪意のものなのかを確認する。
それに、管理者権限を乗っ取られると、そもそもログを消される可能性もある。
情報セキュリティスペシャリスト試験を目指す女性SE 


じゃあ、最初からフォレンジック解析で、該当ファイルを調査すればいいのでは?
ファイルの数は膨大である。数ギガにおよぶことはよくある。だから、非効率だ。ログを分析して、攻撃等の状況を把握し、あたりをつけて実際のファイルなどを確認するのがよい。ログのあたりの付け方に関しては、経験と勘になるかもしれないが、ヒアリングから該当時刻近辺での不審な動作がないかを中心に確認する。アクセス履歴やログイン履歴などを見たり、システムログなどを見たりするところから始まるだろう。 

過去問(H25秋AP午前)を解いてみましょう。
問43 ディジタルフォレンジックスでハッシュ値を利用する目的として,適切なものはどれか。
ア 一方向性関数によってパスワードを変換して保存する。
イ 改変された証拠を復元する。
ウ 証拠と原本との同一性を証明する。
エ パスワードの盗聴の有無を検証する。
正解はウです。

4.過去問(H22春SC午後2問2)を見てみましょう
U君が証拠収集に必要な機材を持参して開発課に駆けつけたところ,当該サーバ機はU君が電話で問い合わせた直後に担当者がシャットダウンし,電源が切断された後だった。このため、⑦U君はこのサーバ機の電源を再投入せず、サーバ機からハードディスクを取り出した。取り出したハードディスクの内容は,専用の複製装置を用いて別のハードディスクに全セクタを複製し、⑧この複製に対してフォレンジックツールを実行して解析を行った。

設問4 〔インシデントの発生と対応〕について,  (1),  (2)に答えよ。
(1)本文中の下線⑦について, U君が電源を再投入しなかった理由を40字以内で述べよ。
(2)本文中の下線⑧について, U君が取り出したハードディスクを直接用いて解析を行わなかった理由を35字以内で述べよ。
(H22春SC午後2問2)

試験センターの解答例は以下である。
設問4 (1) 再起動することでサーバ機上のファイルが改変される可能性があるから
 (2) 解析の際に原本のデータを書き換えてしまう可能性があるから