CeCOSをちょっと早めに抜けて、デジタル・フォレンジック研究会(IDF)の技術分科会に参加してきた。

http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=44&continue=on

開催日時：５月２７日（火）　１９：００〜２１：００
題目：『原本同一性の確保とEnCaseを利用したフォレンジック調査』
講師：松本 隆 氏、平戸 伸幸 氏　（ネットエージェント株式会社　フォレンジック調査部）
司会：萩原 栄幸 氏（ＩＤＦ技術分科会主査）
開催場所：東京都南部労政会館　第３会議室
参加費：無料（会員限定）

■ご講演内容　　　
　　原本の確保から解析／調査に至るまでの各過程における原本同一性確保の手順を、
　　EnCaseの機能説明を交えながら解説します。

　　＜実施内容骨子＞
（１）原本の確保・受け取り
　　1. 聞き取り
　　2. 調査への同意の確認
　　3. 確保（お預かり）手順
　　4. 調査方針の決定

（２）複製の作成（保全）
　　1. ケース管理番号の割りあてと案件ファイル作成
　　2. 写真撮影デモ
　　3. 記録メモの作成
　　4. 物理複製とdd
　　5. 原本との同一性確認（概念）
　　6. 複製デモ
　　7. 調査資料の識別（案件ファイル、案件管理用シール、識別票、案件BOX）

（３）解析／調査の実施（EnCaseを使った調査）
　　1. ケースの作成（ケースの概念とその役割）
　　2. EnCase証拠ファイル形式へのコンバートのデモ（省略可）
　　3. EnCase証拠ファイル形式とは何か？その必要性について
　　4. 調査前作業（ベリファイ、タイムゾーンの設定、リカバーフォルダの実施とその意味）
　　5. FastBlocSE（EnCaseのWrite Blockモジュール）の説明
　　　Write BlockとWrite Protectの違い
　　　USBメモリやカードリーダーを利用した複製のデモ
　　6. EnCaseを利用した調査（ハッシュ値によるファイルの比較、ファイルシグネチャ検証、外部ビューア他）
　　7. Wndows Mediaエンコーダの利用

（４）まとめ

「へー、こんなこともやってるんだ」ということがわかったりして、それなりに参考になった。(NetAgentさん、ありがとうございます。)
しかし実際の現場でも説明した通りの手順でやっているんだとすると、国内の一般企業向けにやるサービスとしてはちょっと過剰な気もした。バランスがとれていない感じ。きちんとやるのはいいことなんですが。

あとちょっと違う点で気になることも。ある人が「フォレンジックの専門家はここまできちんとやっている。しかし専門家の手に渡る前に、中途半端な知識を持った素人が証拠をメチャメチャにしてしまう。そういう時は何もしないで専門家に相談するように。」ってなことを言われた。ん？それって、素人は引っ込んでろってこと？(発言の意図とは違うのかもしれないが、そういうメッセージにも受け取れた。)確かに管理者がインシデント・レスポンスによって証拠を破壊することはある。実際私も何度もそういう例を経験している。でもそういった人達にも正しい知識を教えてあげることが専門家に求められているのではないの？

それとIDFの会員になってわざわざ技術分科会にくるくらいだから、プロの人達が集まるのかなーと漠然と思っていたのだが、上記の発言からするとどうもそれも違うようだ。だから参加者からあまり質問が出なかったのかなぁ？あるいは様子見か。

いずれにしても、技術分科会にはじめて参加してみて、活動があんまり盛り上がらない理由が少しわかったような気がした。(でも今後もできるだけ参加するつもり。)