电子证据保全指南

电子证据保全指南（日本篇上）1、事前准备在进行事故响应（初始响应、证据保全）时需要做好以下事前准备。1.1探讨假设了事故响应的初始响应、证据保全程序以及体制的确立探讨并决定事故响应中应当优先处理的事物（服务、系统等）的顺序选定并确保事故发生时进行初始响应、证据保全所需要的仪器设备确认系统最大容许停止时间（MTPD2）和目标恢复时间（RTO3）确认查出和判断事故的方法确认事故发生时的联系体制事故发生时的调查（查明原因、特定被害范围等）方法的举例预防事故的备份和恢复体制的确立和测试事故响应经过（按时序）的记录方法的确立制作假设了事故响应的初始响应、证据保全操作手册1.2与事故响应有关的信息收集、信息共享和分析收集并分析有关资讯和技术信息，以便迅速准确地处理多样化的信息安全事故确认挥发性信息的取得顺序、内容及范围（内存转储、应用软件）确立与事故响应有关组织的信息共享和联系。1.3事故响应（初始响应、证据保全）时所需仪器设备的选定和准备准备证据保全时用来捆包保管的材料※箱包、缓冲材料、防静电袋等工具等的准备※精密螺丝刀、标签、各种绳带、防静电手套、台用插头等初始响应、证据保全需要的计算机、打印设备等的准备※笔记本电脑、打印机、外部存储设备（CD-R驱动器）等初始响应、证据保全需要的工具、软件的选定及准备※挥发性信息等收集工具、可视化软件等（基准例）※在信息取得过程中极力避免变更原件的数据※在信息取得过程中极力避免对原本进行写操作※在信息取得过程中避免发生不需要的网络通信（详细要求参照“4.3关于证据保全的要件”）※外部操作系统启动用磁盘完成格式化的干净的介质※硬盘、CD-R等各种介质证据保全用复制设备的准备※把数据复制到完成格式化的干净的介质中进行证据保全的复制设备照相机、记录用具等的准备※摄像机、作业确认检查表、备忘录用纸、圆珠笔等1.4熟练掌握事故响应时使用的仪器设备熟知证据保全时所用工具、软件的功能通过模拟实验使用证据保全工具、软件进行必要的训练，以便掌握与证据保全作业有关的技术和积累相关知识1.5Web服务的保全1.5.1把握作为保全对象的Web服务的利用合同确认服务规约、合同书、服务等级协议等，确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。同时还需要记录、保存作为保全对象的Web服务的数据、用户与发生的安全事故之间的关系以及判断需要保全的根据和讨论内容。1.5.2作为保全对象的Web服务的保全方法和操作步骤的讨论确认服务提可以提供标准的数据备份/输出功能，在不能输出或必要的数据输出困难的场合，另行考虑其它的保全手段。因为有时可以通过Web服务进行本地终端备份和数据高速缓冲存储，所以也需要考虑本地环境的保全。以Web服务为对象的证据保全作业是以现场作业为中心的，为了防止无意识地改变对象数据，作业员事前熟知服务的内容安排好操作步骤非常重要。又，由于保全后根据提供的服务有时很难再现当时状况，因此需要详细地记录作业员使用什么样的接口、进行了什么样的操作与检索等信息。一般推荐用照片或视频等逐次记录作业状况，不过，通过一并保存服务对象的HTML数据，也有可能保存时间戳和显示条件等各种各样的元数据。但利用浏览器显示保存HTML的场合，因使用的浏览器不同而显示的内容有时也有差异，因此需要一并记录显示出处时浏览器的种类和版本。另外，还有数据加密等问题，由于通过获取作业中的全部网络通信的分组，可以根据时序与保全作业发生关联，因此也一并讨论。1.5.3准备安全的作业环境确保物理作业环境和网络环境。为了日后尽可能再现保全作业，有时也需要考虑获取通信分组信息。1.5.4见证人等在进行证据保全、事故响应的场合，应考虑尽可能让见证人到场并由复数的工作人员实施。1.5.5账号持有人的同意在对象账号属于个人的场合，保全需要得到其本人的同意才能进行。为了日后确认同意的事实，应当书面记录同意的内容。在保全对象账号属于家属等由多个人员管理的场合，应尽可能取得全体同意。记载的同意内容包括保全对象账号及密码的开示、为了排他控制作业中变更密码、数据输出的许可等。在获得本人的同意变更密码时，应当制作账号设定变更记录并妥当管理。1.6云环境的保全1.6.1云环境的把握。确认服务规约、合同书、服务等级协议等，确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。※又，云计算服务的利用形态一般根据云计算服务提供商提供给消费者的资源范围加以区别。主要有IaaS(InfrastructureasaService)基础设施即服务。消费者通过Internet可以从完善的计算机基础设施获得服务。基于Internet的服务(如存储和数据库)是IaaS的一部分。PaaS(PlatformasaService)平台即服务。PaaS提供了用户可以访问的完整或部分的应用程序开发。SaaS(SoftwareasaService)软件即服务。SaaS则提供了完整的可直接使用的应用程序，比如通过Internet管理企业资源。2事故发生(或被发现，下同)时的处理2.1未实施事故响应场合的活动2.1.1把握突发事故的内容2.1.1.1突发事故的内容信息泄露病毒感染、爆发不当侵入、信息窃取、违反法令设定错误、操作错误、物理故障•物理破坏2.1.1.2检测事故发生的经过审查日志入侵检测系统内部告发外部通报2.1.1.3事故发生的时间。确认系统时钟的准确性2.1.1.4从事故发生到联系委托的时间，以及其间是否对事故进行处理了解突发事故的人物和人数有无确保事故对象物确保了的场合，记录确保对象物的日畤、确保人（职务）、确保的场所、对确保时的对象物（及其周边）所采取的行为，对确保后的对象物的处理（有无）及其内容。没有确保的场合，详细记录确保对象物（预定的）的时间和场所、确保的对象物（及其周边）的状态。2.1.2决定与突发事故有关的对象物（流程图参照图1）2.1.2.1针对对象物的信息收集和对象物的缩限与突发事故有关的对象物的种类及数量•计算机（台式、笔记本型、服务器型）•网络设备（路由器、防火墙、入侵检测系统、入侵防护系统）•硬盘驱动器（以下、HDD）（容量/外设）•存储媒体（CD/DVD/BD/FD/PD/MO/各种闪存等）•挥发性较高的对象物（内存）•手机、智能手机•音乐播放器•游戏机（Wii,NINTENDODS,NINTENDO3DS,PS3）•IC录音机•其它保障证据保全顺利进行的关联信息（周边机器•连接构成图等）与突发事故有关的对象物的状态（何时位于何处）与突发事故有关的对象物的使用起始时间和结束时间以及使用的频率。与突发事故有关的对象物的使用者和管理者有无周边设备和文档以便顺利进行与突发事故有关的对象物的证据保全2.1.2.2对象物的选定和优先顺序的安排保全前对象物（设备）的选定及其理由（对象物是复数时）处理对象物的优先顺序及其理由2.1.3收集证据保全所需信息2.1.3.1对象物的信息对象物的形状、个数和物理状态对象物的标记信息（厂家/型号/型号名称/序列号/扇区尺寸/总扇区数/存储容量）'电缆的连接状况、跳线的设定状况、有无设定HPA、DCO等、有无通常环境下可以识别的物理破损和损伤。硬盘•存储媒体的存储容量，接口的状况特别是在不把硬盘取出机壳，通过专用CD启动进行证据保全的场合，光盘驱动器及USB/FireWire、网络连接端口的有无非常重要。是否进行安全设定硬盘密码锁、硬盘整体加密和部分文件、文件夹加密、PC周边的钢缆制动器、柜子、IC卡等。把握突发事故的内容一突发事故的内容—检测事故发生的经过—事故发生的时间一从事故发生到联系委托的时间，以及其间是否对事故进行处理I决定与突发事故有关的对象物一针对对象物的信息收集和对象物的缩限一对象物的选定和优先顺序的安排I收集证据保全所需信息、一对象物的信息-对象物的形状、个数和物理状态-硬盘•存储媒体的存储容量，接口的状况-是否进行安全设定图1表示本节作业内容的流程图2.2事故响应已经着手场合的活动2.2.1确认与上述项目2.1有关的各种信息与上述项目2.1有关的各种信息是否不足或过剩是否有人承认与上述项目2.1有关的各种信息的收集各种及结果或是否承认2.2.2确认访问之前的事故响应内容（是否拔掉电源等）2.2.3确认响应存在不足或过分场合的处理确认收集的信息•项目内存在不足之处时，通过访问或信息收集进行补充。确认收集的信息•项目内存在获取程序不适当之处时，在记录收集时实施的作业内容的基础上，根据适当的程序快速进行相关信息的收集。确认收集的信息•项目内存在过分之处时，在听取收集该信息的基准及理由，认为不需要时删除该信息。2.3为了顺利进行事故响应而采取的行动2.3.1物理环境的确保①确保拥有足够大的场所，以便容易发现和容易管理证据保全的对象物、用于证据保全的设备、工具和文件确保证据保全设备和工具充分运转的电力和插头等确保只能用于事故响应作业的场所通过上锁确保只有与事故响应有关的人员才能进入的场所（最好通过指纹认证•IC卡认证进行出入管理）。在事故响应作业中离开现场（休息）时需要的采取的措施的实施作业者的入退室记录、贵宾用IC卡的出借等2.3.2与有关组织的合作与法务部门负责人和信息系统负责人的合作与系统设计者或管理者的关系构筑例如在对结构复杂的系统整体或部分进行证据保全时与内部监查•系统审计负责人的合作充分考虑和遵守委托单位的安全和隐私守则关系人员的确保和无关人员的排除在事故响应作业过程中应当确保无关的第三人不能参与的状况。又,在受托进行作业的场合，应当注意让委托单位的负责人在场。与解析负责人的合作3对象物的收集•取得•保全3.1对象物状态的把握O把握对象物存在现场的收集•取得•保全时的状况•放置对象物的场所、状态•确认管理者有无故意隐藏的情况在设想的对象物的放置方法、收纳方法被认为处于不自然的状态的场

合，应就形成该状态的背景和理由、形成该状态的经过以及时间•人物进行访问。3.2为了收集•取得•保全而对对象物进行的处置根据对象物的状态，可以进行如下适当处置。（图2）为了收集•取得•保全而选择处置对象物的方法3.2.1对象物是计算机，电源关闭的场合原则上禁止接通电源硬盘整体加密，不得不接通电源进行证据保全的场合除外。不过，即使这种场合，也要在证据保全作业负责人的指挥之下，承受电源开通时的风险（文件时间戳和内容改变等的影响），实施证据保全作业。从机壳中拔卸电缆之类设备，以免无意中向硬盘写入数据。•拔卸电源电缆、键盘、鼠标、USB连接器之类设备。•在有用途不明的连接电缆时，应向熟知该电缆的人员确认其用途，并在证据保全作业负责人的指挥之下进行保全作业。•拆卸各种设备•电缆时，为了保证解析时的系统的准确再现和作业后恢复现状，使用沾性较低的标签、专用标签粘贴，以明确电缆和设备等安装在哪个地方（在记录表中明确记载/拍照摄影）。特别需要明确记载保全对象设备的固有信息（制造编号、型号等，图3）。图3电缆上张贴标签状况的记录3.2.2对象物是计算机（台式），电源开通的场合计算机的种类•规格、使用操作系统的确认，以及通过目视或指令确认并记录保全时系统时钟的准确性（与日本标准时等的差异）。网络环境的确认•ISP，邮件软件，认证信息，电子邮件地址，邮件转发设定，浏览器的种类，代理设置等确保对象物时，具体记录画面和打印机等输出设备显示和输出的状况（拍照摄影）除去不得已的场合，尽量避免碰触文件、图标以及其它可疑画面。如果可能，一并确认后台正在运行的进程。挥发性信息的获取根据调查的目的和需要，获取挥发性信息。如果希望最大限度地不影响删除文件的恢复，那么不获取挥发性信息，直接拔下电源电缆。除去不得已的场合，尽量避免碰触文件、图标以及其它可疑画面。针对挥发性信息取得顺序内容和范围（内存转储，应用程序相关信息），使用事先准备的、与使用操作系统对应的自动收集工具等，依据顺序获取对象范围的信息。关闭电源参照3.2.6从机壳中拔卸电缆之类设备，以免无意中向硬盘写入数据。拔卸电源电缆、键盘、鼠标、USB连接器之类设备。在有用途不明的连接电缆时，应向熟知该电缆的人员确认其用途，并在证据保全作业负责人的指挥之下进行保全作业。拆卸各种设备电缆时，为了保证解析时的系统的准确再现和作业后恢复现状，使用沾性较低的标签、专用标签粘贴，以明确电缆和设备等安装在哪个地方（在记录表中明确记载/拍照摄影）。特别需要明确记载保全对象设备的固有信息（制造编号、型号等）。3.2.3对象物是计算机（笔记本型），电源处于开通状态计算机的种类规格、使用操作系统的确认，以及通过目视或指令确认并记录保全时系统时钟的准确性（与日本标准时等的差异）。网络环境的确认ISP，邮件软件，认证信息，电子邮件地址，邮件转发设定，浏览器的种类，代理设置等确保对象物时，具体记录画面和打印机等输出设备显示和输出的状况（拍照摄影）除去不得已的场合，尽量避免碰触文件、图标以及其它可疑画面。如果可能，一并确认后台正在运行的进程。挥发性信息的获取•根据调查的目的和需要，获取挥发性信息。•除去不得已的场合，尽量避免碰触文件、图标以及其它可疑画面。关闭电源•参照3.2.6•与台式机不同，因为笔记本电脑机壳的底面有电池，所以从插座拔出插头也不能强制性地关闭电源。•因此，取出机壳底面的电池后再从插座拔