『インシデント対応へのフォレンジック技法の統合に関するガイド』
フォレンジックプロセスは、状況に関わらず、以下の基本的なフェーズで構成される4。
� 収集。プロセスの最初のフェーズでは、データの完全性を保護するガイドラインと手続きに 従いながら、関連するデータを識別し、ラベル付けし、記録し、ソースの候補から取得する。
一般に、動的なデータ(現在のネットワーク接続など)や電池式の装置(携帯電話や PDA な
ど)に含まれるデータは消失する可能性があるため、収集は適切なタイミングで行う。
� 検査。検査では、データの完全性を保護しながら、収集した大量のデータを自動的手法と手
動的手法の組み合わせを使ってフォレンジック的に処理することにより、特に注目に値する
データを見定めて抽出する。
� 分析。プロセスの次のフェーズは、法的に正当と認められる手法および技法を使用して検
査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情
報を導き出す。
� 報告。最後のフェーズでは、分析結果を報告する。この報告には、使用された措置の記述、
ツールと手続きの選択方法の説明、実行する必要があるそのほかの措置(追加のデータソ
ースのフォレンジック検査、識別された脆弱性の安全対策、既存のセキュリティ管理策の改
善など)の特定、フォレンジックプロセスのポリシー、ガイドライン、手続き、ツール、およびそ
のほかの側面の改善に関する推奨事項の提供などが含まれる可能性がある。報告フェー
ズをどの程度正式なものとするかは、状況によって大きく異なる。
収集、検査、分析、報告のところだけ太字化
関連