电子证据保全指南(日本篇上)

电子证据保全指南（日本篇上）

1、事前准备

在进行事故响应（初始响应、证据保全）时需要做好以下事前准备。

1.1探讨假设了事故响应的初始响应、证据保全程序以及体制的确立

①探讨并决定事故响应中应当优先处理的事物（服务、系统等）的顺序

②选定并确保事故发生时进行初始响应、证据保全所需要的仪器设备

③确认系统最大容许停止时间（MTPD2）和目标恢复时间（RTO3）

④确认查出和判断事故的方法

⑤确认事故发生时的联系体制

⑥事故发生时的调查（查明原因、特定被害范围等）方法的举例

⑦预防事故的备份和恢复体制的确立和测试

⑧事故响应经过（按时序）的记录方法的确立

⑨制作假设了事故响应的初始响应、证据保全操作手册

1.2与事故响应有关的信息收集、信息共享和分析

①收集并分析有关资讯和技术信息，以便迅速准确地处理多样化的信息安全事故

②确认挥发性信息的取得顺序、内容及范围（内存转储、应用软件）

③确立与事故响应有关组织的信息共享和联系。

1.3事故响应(初始响应、证据保全)时所需仪器设备的选定和准备

①准备证据保全时用来捆包保管的材料

※箱包、缓冲材料、防静电袋等

②工具等的准备

※精密螺丝刀、标签、各种绳带、防静电手套、台用插头等

③初始响应、证据保全需要的计算机、打印设备等的准备

※笔记本电脑、打印机、外部存储设备(CD-R驱动器) 等

④初始响应、证据保全需要的工具、软件的选定及准备

※挥发性信息等收集工具、可视化软件等

（基准例）

※在信息取得过程中极力避免变更原件的数据

※在信息取得过程中极力避免对原本进行写操作

※在信息取得过程中避免发生不需要的网络通信

（详细要求参照“4.3关于证据保全的要件”）

※外部操作系统启动用磁盘

⑤完成格式化的干净的介质

※硬盘、CD-R等各种介质

⑥证据保全用复制设备的准备

※把数据复制到完成格式化的干净的介质中进行证据保全的复制设备

⑦照相机、记录用具等的准备

※摄像机、作业确认检查表、备忘录用纸、圆珠笔等

1.4熟练掌握事故响应时使用的仪器设备

①熟知证据保全时所用工具、软件的功能

②通过模拟实验使用证据保全工具、软件

③进行必要的训练，以便掌握与证据保全作业有关的技术和积累相关知识

1.5 Web服务的保全

1.5.1把握作为保全对象的Web服务的利用合同

确认服务规约、合同书、服务等级协议等，确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。同时还需要记录、保存作为保全对象的Web服务的数据、用户与发生的安全事故之间的关系以及判断需要保全的根据和讨论内容。

1.5.2作为保全对象的Web服务的保全方法和操作步骤的讨论

确认服务提可以提供标准的数据备份/输出功能，在不能输出或必要的数据输出困难的场合，另行考虑其它的保全手段。因为有时可以通过Web服务进行本地终端备份和数据高速缓冲存储，所以也需要考虑本地环境的保全。

以Web服务为对象的证据保全作业是以现场作业为中心的，为了防止无意识地改变对象数据，作业员事前熟知服务的内容安排好操作步骤非常重要。又，由于保全后根据提供的服务有时很难再现当时状况，因此需要详细地记录作业员使用什么样的接口、进行了什么样的操作与检索等信息。一般推荐用照片或视频等逐次记录作业状况，不过，通过一并保存服务对象的HTML数据，也有可能保存时间戳和显示条件等各种各样的元数据。但利用浏览器显示保存HTML的场合，因使用的浏览器不同而显示的内容有时也有差异，因此需要一并记录显示

出处时浏览器的种类和版本。

另外，还有数据加密等问题，由于通过获取作业中的全部网络通信的分组，可以根据时序与保全作业发生关联，因此也一并讨论。

1.5.3准备安全的作业环境

确保物理作业环境和网络环境。为了日后尽可能再现保全作业，有时也需要考虑获取通信分组信息。

1.5.4 见证人等

在进行证据保全、事故响应的场合，应考虑尽可能让见证人到场并由复数的工作人员实施。

1.5.5 账号持有人的同意

在对象账号属于个人的场合，保全需要得到其本人的同意才能进行。为了日后确认同意的事实，应当书面记录同意的内容。在保全对象账号属于家属等由多个人员管理的场合，应尽可能取得全体同意。记载的同意内容包括保全对象账号及密码的开示、为了排他控制作业中变更密码、数据输出的许可等。

在获得本人的同意变更密码时，应当制作账号设定变更记录并妥当管理。

1.6 云环境的保全

1.6.1 云环境的把握

○确认服务规约、合同书、服务等级协议等，确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。

※又，云计算服务的利用形态一般根据云计算服务提供商提供给消费者的资源范围加以区别。主要有IaaS（Infrastructure as a Service)基础设施即服务。消费者通过 Internet 可以从完善的计算机基础设施获得服务。基于 Internet 的服务（如存储和数据库）是IaaS的一部分。PaaS（Platform as aService）平台即服务。PaaS 提供了用户可以访问的完整或部分的应用程序开发。SaaS（Software as aService）软件即服务。SaaS则提供了完整的可直接使用的应用程序，比如通过 Internet管理企业资源。

2 事故发生（或被发现，下同）时的处理

2.1 未实施事故响应场合的活动

2.1.1把握突发事故的内容

2.1.1.1 突发事故的内容

①信息泄露

②病毒感染、爆发

③不当侵入、信息窃取、违反法令

④设定错误、操作错误、物理故障〃物理破坏

2.1.1.2 检测事故发生的经过

①审查日志

②入侵检测系统

③内部告发

④外部通报