フォレンジックの基礎｜サイバーセキュリティ

🎓 レベル：発展　|　重要度：B（推奨） 📎 前提：インシデント対応のプロセス

要点（BLUF）

フォレンジックは、侵害後に証跡を壊さず保全し、何がいつどう起きたかを再構成する営み。再発防止と説明責任の土台。
鉄則は原本を変えないこと。複製を取って解析し、ハッシュで原本との同一性を保証する（完全性＝対称鍵暗号とハッシュ）。
揮発しやすい証拠から順に集め、誰がいつ証拠を扱ったかの**証跡の連鎖（chain of custody）**を維持する。

概念：何が起きたかを正しく語るために

インシデント対応（インシデント対応のプロセス）の封じ込め・事後活動を支えるのがフォレンジックです。目的は「何が起きたか・どこから入られたか・何を持ち出されたか」を、後から覆らない形で明らかにすること。再発防止の根本原因分析にも、社内外への説明や法的手続きにも使われます。だからこそ、証拠の扱いに厳密さが求められます。

本テキストは防御・教育目的のため、フォレンジックの原則と心構えを扱い、具体的な解析手順や攻撃痕跡の悪用法には踏み込みません。

仕組み：証拠を壊さないための原則

原則	内容	理由
原本不変	元のデータを書き換えない	解析で証拠が変質しては意味がない
複製して解析	ビット単位の複製で作業	原本は封印し、複製で調べる
完全性の証明	ハッシュで同一性を担保	改ざんされていないことを示す
揮発性の順序	消えやすい順に収集	メモリ・通信は時間で失われる
証跡の連鎖	誰がいつ扱ったか記録	証拠の信頼性を保つ

揮発性の順序とは、メモリやネットワーク接続のように電源を切ると消える証拠を先に、ディスクのように残る証拠を後に集める考え方です。慌てて再起動すると重要な証拠が消えます。

ハッシュによる完全性は、収集した証拠のダイジェストを取っておき、後で「解析中に変わっていない」ことを証明する使い方です。一方向性となだれ効果（対称鍵暗号とハッシュ）が、ここで実務的に効きます。

flowchart LR
    INC["インシデント発生"] --> ISO["影響範囲を隔離（証跡は壊さない）"]
    ISO --> VOL["揮発性の高い順に収集（メモリからディスクへ）"]
    VOL --> HASH["収集物のハッシュを記録（完全性の証明）"]
    HASH --> COPY["複製を解析・原本は封印"]
    COPY --> COC["証跡の連鎖を記録（誰がいつ扱ったか）"]

防御側の使い方／設定

封じ込めと証拠保全を両立：止めることを優先しつつ、可能な範囲で揮発性証拠を先に確保。安易な再起動・初期化を避ける。
複製＋ハッシュを習慣化：解析は複製で。原本と複製のハッシュを記録し同一性を担保。
時刻と来歴を残す：ログの時刻同期（ログと監視（SIEM/SOC））と証跡の連鎖で「いつ・誰が」を一貫させる。
平時に準備：保全手順・ツール・保管場所をインシデント対応計画（インシデント対応のプロセス）に組み込む。事故後に初めて考えない。
専門領域は連携：高度な解析や法的対応は専門家・法務と連携（要最新確認）。

なぜ安全か：覆らない事実が再発防止と信頼を生む

フォレンジックの厳密さが効くのは、根本原因を正しく特定できれば、同じ侵入経路を確実に塞げるからです（事後活動＝インシデント対応のプロセス）。さらに、ハッシュと証跡の連鎖で証拠の完全性を保つことは、社内外への説明や法的手続きで事実が覆らないことを担保します。雑な保全は、原因の誤認や証拠の無効化を招き、再発と信頼喪失につながります。

仕組みの直観

フォレンジックは事件現場の鑑識です。現場を踏み荒らせば証拠が消える（原本不変）。指紋や血痕は時間で劣化するものから採取し（揮発性の順序）、採取物には番号と封印を付け、誰がいつ触れたかを記録する（証跡の連鎖）。証拠は写真や複製で調べ、原本は保管庫へ。封印が破られていないこと（ハッシュ）が、その証拠が裁判で通用する条件になります。

⚠️ よくある誤解・設定ミス

慌てて再起動・初期化：揮発性証拠（メモリ・接続）が消える。収集の順序を守る。
原本を直接いじる：証拠が変質し信頼を失う。複製で解析する。
ハッシュ・記録を残さない：同一性や来歴を証明できず、証拠が無効化されうる。
時刻がばらばら：出来事の前後関係が崩れる。時刻同期（ログと監視（SIEM/SOC））。
事後に初めて手順を考える：保全は初動が勝負。平時に準備しておく。

対応 lab

保全・解析は実機と専門性が前提のため lab は置きません。完全性の証明に使うハッシュの原理は security-study/labs/hash_oneway_demo.py で確認できます。