ディスクイメージング でぃすくいめーじんぐ
簡単に言うとこんな感じ!
ハードディスクの中身をまるごとコピーして「完全複製品」を作る技術だよ!セキュリティ事故が起きたとき、証拠を壊さずに調査するための”現場保存”みたいなものなんだ。普通のバックアップとは違って、削除済みファイルの痕跡まで全部残るのがポイントってこと!
ディスクイメージングとは
ディスクイメージングとは、ハードディスクやSSDなどの記憶媒体に書き込まれているデータを、セクター(記憶域の最小単位)レベルで一切合切コピーし、1ビットも漏らさない完全な複製ファイル(イメージファイル)を作成する技術です。通常のファイルコピーとは異なり、ファイルシステム上では「削除済み」として見えなくなったデータや、ファイルの隙間に残る断片情報(スラックスペース)なども含めて保存できます。
セキュリティインシデント(不正アクセス・情報漏洩・マルウェア感染など)が発生した際、原本ディスクを直接触ると証拠が書き変わってしまう危険があります。そこでイメージングによって”複製品”を作り、原本は封印した上で複製側で調査を進めるのが、デジタルフォレンジック(電子的証拠調査)の基本作法です。裁判や行政調査への証拠提出でも、イメージングによる正しい保全手順が取られたかどうかが信頼性の鍵になります。
ディスクイメージングの構造と仕組み
通常コピーとイメージングの違い
| 比較項目 | 通常のファイルコピー | ディスクイメージング |
|---|---|---|
| コピー対象 | ファイルシステム上で見えるファイルのみ | 全セクター(削除済み・空き領域含む) |
| 削除済みデータ | 取得できない | 残存していれば取得可能 |
| メタデータ(作成日時など) | 変わる場合あり | そのまま保存 |
| 主な用途 | 日常バックアップ | 証拠保全・フォレンジック調査 |
| ファイルサイズ | 実データ分のみ | ディスク容量分まるごと |
ハッシュ値による完全性の証明
イメージング後は必ず MD5・SHA-256などのハッシュ値(データの”指紋”)を記録します。後から「イメージが改ざんされていない」「原本と一致する」ことを数学的に証明するためです。
原本ディスク → イメージング → .img / .E01 ファイル
↓
SHA-256ハッシュを計算・記録
例: a3f9...c2d1
↓
調査後も同じハッシュ → 改ざんなし証明代表的なイメージファイル形式
| 形式 | 特徴 | 主なツール |
|---|---|---|
.E01 (Expert Witness) | 圧縮・分割・メタデータ埋め込みに対応。フォレンジック標準 | EnCase, FTK Imager |
.dd (RAW) | 最もシンプルな生ビットコピー。汎用性が高い | ddコマンド, dc3dd |
.AFF | オープンソース標準。署名付き | afflib |
.vmdk / .vhd | 仮想マシン用。VM環境での起動に使える | VMware, Hyper-V |
歴史と背景
- 1980年代〜 コンピュータ犯罪の捜査で、磁気ディスクの”丸ごとコピー”が必要になり始める
- 1990年代前半 米国FBI・司法省がデジタル証拠の取り扱い指針を整備。ビットコピーの必要性が明文化される
- 1998年 EnCase(エンケース)が商用フォレンジックツールとして登場。
.E01形式が業界標準に - 2002年 米国NIST(国立標準技術研究所)がフォレンジックツールの試験プログラム(CFTT)を開始し、イメージングツールの信頼性評価を制度化
- 2000年代〜 日本でも不正競争防止法改正・個人情報保護法施行に伴い、企業内フォレンジックの需要が拡大
- 2010年代〜 クラウドやSSDの普及で「揮発性メモリ(RAM)のイメージング」も重要視されるように。ライブフォレンジックが主流化
- 現在 ランサムウェア被害対応の初動対応として、被害サーバーのイメージングが標準手順に位置づけられている
フォレンジック調査における位置づけ
ディスクイメージングはインシデント対応の証拠保全フェーズの中心的な作業です。下図は、インシデント発生からイメージング・解析までの流れを示しています。
書き込み防止(ライトブロッカー)の重要性
イメージング作業中に、取得ツールが原本ディスクへ誤って書き込んでしまうと証拠が汚染されます。これを防ぐためのライトブロッカー(ハードウェアまたはソフトウェアで書き込み操作を遮断する装置)の使用が、フォレンジックの現場では必須とされています。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| ISO/IEC 27037:2012 | デジタル証拠の識別・収集・取得・保全に関する国際標準。イメージング手順の原則を規定 |
| NIST SP 800-86 | フォレンジック技術をインシデント対応に統合するためのNISTガイド |
関連用語
- デジタルフォレンジック — 電子機器から証拠を収集・分析する調査技術の総称
- インシデントレスポンス — セキュリティ事故発生時の対応手順・プロセス全体
- ハッシュ関数 — データの”指紋”を生成する一方向の変換関数(SHA-256など)
- チェーン・オブ・カストディ — 証拠の収集から保管・提出までの管理記録(証拠の連続性)
- ランサムウェア — データを暗号化して身代金を要求するマルウェア。被害時にイメージングが初動手順になる
- バックアップ — データの定期的な複製保存。イメージングとは目的・精度が異なる
- マルウェア解析 — 悪意あるプログラムの動作・構造を調査・分析すること
- SIEM — セキュリティログを集約・分析するシステム。インシデント検知の起点となることが多い