＜第１１４号コラム＞
丸谷 俊博　理事・事務局長
（株式会社フォーカスシステムズ　新規事業推進室　室長）
＜題＞
「今後の第７期活動について」
詳細

＜第１１３号コラム＞
佐藤 智晶　幹事（東京大学政策ビジョン研究センター　特任助教）
＜題＞
「医療分野におけるデジタル・フォレンジックへの期待－アメリカの一事例から－」
詳細

＜第１１２号コラム＞
大橋 充直　氏（ハッカー検事　IDF会員）
＜題＞
「犯罪の最前線からデジタル・フォレンジック？」
詳細

特定非営利活動法人デジタル・フォレンジック研究会
「技術」分科会ワーキンググループ編

「証拠保全ガイドライン　第１版」

　目　次

１　事前に行う準備
　1.1　　インシデントレスポンスを想定した初動対応、証拠保全プロセスの検討及び体制の確立
　1.2　　インシデントレスポンスに関連する情報収集、情報共有及び分析
　1.3　　インシデントレスポンス（初動対応、証拠保全）時に必要と考えられる資機材等の選定及び準備
　1.4　　インシデントレスポンス時に使用する資機材等の熟達

２　インシデント発生（または発覚、以下同じ）直後の対応
　2.1　　インシデントレスポンスが未実施の場合の活動
　2.1.1　発生したインシデントの内容の把握
　2.1.2　発生したインシデントに関する対象物の決定
　2.1.3　証拠保全を行う上で必要な情報の収集
　2.2　　インシデントレスポンスが着手済みである場合の活動
　2.2.1　上記項目2.1に関する各種情報の確認
　2.2.2　インタビュー以前のインシデント対応内容の確認
　2.2.3　対応に過不足が確認された場合の対処
　2.3　　インシデントレスポンスを円滑に進めるための活動
　2.3.1　物理的環境の確保
　2.3.2　関係組織との連携

３　対象物の収集・取得・保全
　3.1　　対象物の物理的環境の把握
　3.2　　収集・取得・保全するための対象物の処置
　3.2.1　対象物がコンピュータで、電源がOFFの状態の場合
　3.2.2　対象物がコンピュータ（デスクトップ型）で、電源がONの状態の場合
　3.2.3　対象物がコンピュータ（ノート型）で、電源がONの状態の場合
　3.2.4　対象物がコンピュータ（サーバー型）で、電源がONの状態の場合
　3.2.5　対象物がコンピュータ以外（メディア系）の場合
　3.2.6　電源をOFFにする際の注意点
　3.2.7　電源をOFFにしてはならない場合等
　3.2.8　揮発性による処理順序
　3.3　　その他、収集・取得・保全する必要性がある対象物

４　証拠保全機器の準備
　4.1　　複製先（コピー先、以下同じ）に用いる媒体（記憶装置）
　4.1.1　媒体のチェック
　4.1.2　無データ状態
　4.1.3　完全（物理）複製
　4.1.4　可読・可搬媒体
　4.2　　証拠保全機器に求められる機能
　4.2.1　書込み防止機能
　4.2.2　完全（物理）複製機能
　4.2.3　同一性検証機能
　4.2.4　作業ログ・監査証跡情報の表示・出力機能
　4.3　　証拠保全ツールに関する要件
　4.3.1　完全（物理）複製が可能な機能
　4.3.2　信頼できる機関による検証
　4.3.3　その他
　4.4　　その他、証拠保全に必要な機器・機材・施策の準備
　4.4.1　HDDの物理的制限の認識及び（強制）解除機能の有無の確認
　4.4.2　HDDパスワード・暗号化に対する準備
　4.4.3　IDE HDDに設置されているジャンパーピンの取扱い
　4.4.4　RAID装置や構造が複雑なサーバー類に対する準備
　4.4.5　事前の十分なテスト及び機能の稼働状態のチェック

５　証拠保全作業中・証拠保全作業後
　5.1　　代替機・代替ツール・代替手段の準備
　5.2　　立会人等
　5.3　　同一性の検証
　5.4　　証拠保全の正確性を担保する作業内容の記録
　5.4.1　行動履歴の記録
　5.4.2　証拠保全に関わる機器の情報の記録
　5.4.3　ビデオ及び写真撮影
　5.5　　複製先の取扱い
　5.5.1　厳重な管理
　5.5.2　フォレンジックチーム等への提出・譲渡

付録
　○ 関連資料
　○ 「技術」分科会ＷＧメンバー
　○ IDF団体会員「製品・サービス区分リスト」

＜第１１１号コラム＞
金子 宏直　氏（東京工業大学大学院　社会理工学研究科　准教授）
＜題＞
「外国判例事情 -ブラックベリーのデータについても保存義務-」
詳細