読み方 : しょうこほぜん

証拠保全【evidence preservation】

概要

証拠保全とは、事故や不正行為、紛争などに関連する証拠を改竄や消失から守り、後の調査や訴訟に耐え得る状態で保存する手続きや措置のこと。IT分野では、サイバー攻撃などの際に、被害を受けたコンピュータに残されたデータを発生時の状態のまま複製・保存する一連の手続きを指すことが多い。
証拠保全のイメージ画像

証拠保全は、刑事事件や民事訴訟において事実関係を明らかにする前提となる活動である。紙の書類や物理的な物品だけでなく、電子メール、通信ログストレージ内のファイルなども対象となる。特に情報システムが広く利用される現代では、電子的記録が重要な証拠となる場合が多く、デジタルデータの適切な保全が重視されている。

データは容易に改変や削除が可能であるため、取得方法や保存方法が不適切であれば、証拠能力が疑われることになる。デジタルフォレンジックの実務では、証拠となる記録媒体を直接操作せず、ビット単位で完全に複製したイメージを作成して解析する方法が用いられる。

この際、わずかに異なるデータでもまったく異なる値に変化する「ハッシュ値」を算出し、取得時と証拠提出時で一致していることを示すことで、改竄が行われていないことを証明する。また、誰がいつどのように証拠を取り扱ったかを記録する「CoC」(Chain of Custody)と呼ばれる管理手続きにより、証拠の信頼性真正性を担保する。

証拠保全の対象はハードディスクUSBメモリに留まらず、揮発性の高いメインメモリRAM)やネットワーク上のログクラウドサービスオンラインストレージにまで及ぶ場合がある。特に、メモリ上のデータは電源を切ると消失してしまうため慎重な作業が求められる。必要に応じてログの自動上書き停止やアカウント凍結措置を行うなど、証拠が消失・変質する前に現場を保存する迅速な対応が鍵となる。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。