以下、下記の順序に従って本発明を説明する。
(1)第1の実施形態:
(2)第2の実施形態:
(3)第3の実施形態:
(4)第4の実施形態:
(5)その他変形例:
(1)第1の実施形態:
図1は、本実施形態に係るデジタル証拠作成装置の使用態様を示す図である。デジタル証拠作成装置1は、情報処理装置としてのパーソナルコンピューター(PC5)に外部接続して用いられる。デジタル証拠作成装置1は、USB(Universal Serial Bus)を介してPC5に接続されている。
図2は、デジタル証拠作成装置1を接続したPC5のハードウェア構成の一例を示すブロック図である。PC5は、記憶媒体50、制御部51、ディスプレイコントローラ52、ネットワークコントローラ53、光学ドライブ54、USBコントローラー55を有し、これら各部が通信バスを介して互いに通信可能に接続されている。
ディスプレイコントローラ52は、制御部51の制御に基づいて操作画面等の各種の画像を表示部としてのディスプレイ56に表示させる。USBコントローラー55にはマウスやキーボード等の操作入力機器が接続されており、ユーザが操作入力機器を介して制御部51に対して各種の操作入力を行うことができる。制御部51は、CPU(Central Processing Unit),ROM(Read Only Memory),RAM(Random Access Memory)を有し、ROM等に記憶されたプログラムに基づいてRAMをワークエリアとしてCPUが演算処理を行うことにより、PC5を統括的に制御する。
PC5は、ブートデバイスを適宜に変更して設定可能であり、内蔵する第1記憶媒体としての記憶媒体50をブートデバイスとする態様と、外部接続されたデジタル証拠作成装置1をブートデバイスとする態様とを切り替えて選択可能である。デジタル証拠作成装置1は記憶媒体11を内蔵しており、この記憶媒体11には第1のオペレーティングシステムプログラム(第1OSプログラム12)が記憶されており、外部接続されたデジタル証拠作成装置1に記憶された第1OSプログラム12によってPC5をブートすることができる。
第1OSプログラム12は、記憶媒体11から読みだされてPC5で実行する際に、デジタル証拠作成装置1を論理ディスクとしてマウントする一方、PC5の内部の記憶媒体50については論理ディスクとしてマウントしない。例えば、第1OSプログラム12をWindows(登録商標) PEにて実現する場合は、Window(登録商標) PEの所定のレジストリ値を変更することにより、Windows(登録商標) PEのマウントマネージャサービスがストレージデバイスに対して自動マウントを行わないようにしたり、接続されているローカルディスク及びストレージエリアネットワークの論理ユニット番号上のボリュームが自動的にマウントされないように変更したりする。
なお、第1OSプログラム12がPC5で実行される際に論理ディスクとしてマウントしない記憶媒体としてはデジタル証拠作成装置1の記憶媒体11に限らず、デジタル証拠作成装置1以外のPC5の内部又は外部の任意の記憶媒体について論理ディスクとしてマウントしない構成を採用することができる。
デジタル証拠作成装置1は、外部接続用のインターフェース規格と記憶媒体11のインターフェース規格との間でデータ変換を行うコントローラーチップ14を有しており、このコントローラーチップ14を介して記憶媒体11はPC5のUSBコントローラー55に接続されている。コントローラーチップ14はシリアル番号等の固有識別番号を有しており、PC5のUSBコントローラー55を介した外部からの問い合わせに対して固有識別番号を応答する。
次に、デジタル証拠作成装置1に記憶された第1OSプログラム12でPC5をブートした場合のデジタル証拠の作成手順について説明する。デジタル証拠作成装置1の記憶媒体11に記憶された第1OSプログラム12によってPC5がブートされると、第1OSプログラム12のブートが完了した後にデジタル証拠作成装置1の記憶媒体11に記憶されたデジタル証拠作成プログラム13が自動的又は手動で起動される。
デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されていることを動作条件(起動条件、機能実行条件、等)としてある。すなわち、デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されている場合には起動・機能実行が可能であるが、PC5にデジタル証拠作成装置1が接続されていない場合には、起動・機能実行をできない構成としてある。これにより、デジタル証拠作成プログラム13の動作中、デジタル証拠作成装置1がPC5に確実に接続された状態を実現することができる。
このような動作条件の具体的な一例としては、起動時又は機能実行時に、デジタル証拠作成装置1のコントローラーチップ14のシリアル番号などの機器固有情報を利用する態様がある。すなわち、デジタル証拠作成装置1のコントローラーチップ14の機器固有情報を取得し、取得した機器固有情報と予めプログラム中に保持する機器固有情報とが一致する場合は起動や機能実行を開始又は継続し、取得した機器固有情報と予めプログラム中に保持する機器固有情報とが一致しない場合は起動や機能実行を停止又は開始しない。
このように、デジタル証拠作成プログラム13の動作中、PC5にデジタル証拠作成装置1が確実に接続された状態を実現することにより、デジタル証拠の証拠管理を容易化し、証拠の散逸を防止する。すなわち、本実施形態に係るデジタル証拠作成装置1では後述するログを一律にデジタル証拠作成装置1内の所定領域(所定フォルダ等)に保存する構成を採用しており、ログの保存場所を限定することにより、ログの取り損じや取り違えを防止することができる。また、作業者が誤ってログを証拠原本である原記憶媒体中に保存して証拠原本を汚す可能性を排除している。また、ログを現場の独自判断で別の記憶媒体等に記憶して証拠散逸する可能性を排除して証拠管理性の低下を防止する効果もある。
デジタル証拠作成プログラム13を実行するPC5は、PC5の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する第1処理部F1と、解析用記憶媒体の作成に係る動作履歴を記録する第2処理部F2と、原記憶媒体の機器固有情報及び/又はPC5の機器固有情報を記録する第3処理部F3と、耐用指標情報を記録する第4処理部F4と、デジタル証拠作成に関連してPC5に対して行われる操作入力を記録する第5処理部F5と、第1OSプログラム12にドライバを組み込む第6処理部F6と、を有する。
デジタル証拠作成プログラム13を実行するPC5は、法的証拠能力あるデジタル証拠を作成するための所定の手順に則った操作入力を許容する一方、それ以外の操作入力を制限する構成となっている。すなわち、法的証拠能力あるデジタル証拠を作成するための所定の手順に則って操作画面が遷移する構成であり、各操作画面では所定の操作入力以外の操作入力を受け付けない構成であり、しかも所要の操作入力が為されるまで次の操作画面へ遷移しない構成としてある。
以下、図3〜図7に示すフローチャートに沿って、各操作入力画面について説明する。図3は、デジタル証拠作成プログラムの処理の全体的な流れを示すフローチャート、図4は、機能選択画面において「S.M.A.R.T.の表示」が選択された際に実行される処理の流れを示すフローチャート、図5は、機能選択画面において「ハードウェア情報」が選択された際に実行される処理の流れを示すフローチャート、図6は、機能選択画面において「ディスクの複製」が選択された際に実行される処理の流れを示すフローチャート、図7は、機能選択画面において「ディスクの保全」が選択された際に実行される処理の流れを示すフローチャート、図38は機能選択画面において「ドライバインストール」が選択された際に実行される処理の流れを示すフローチャートである。
デジタル証拠作成プログラム13を実行するPC5は、PC5に接続されているデジタル証拠作成装置1がデジタル証拠を受け入れ可能な状態であるかを判断する。具体的には、まず記憶領域11における後述するデジタル証拠記憶領域Rlog(デジタル証拠を保存するためのフォルダ等)の有無を確認する(S1)。記憶領域11にデジタル証拠記憶領域Rlogが存在しない場合は(S1:無)次の処理に進み、ソフトウェア使用許諾契約の同意画面を表示し(S2)、存在する場合は(S1:有)、デジタル証拠作成プログラム13が終了する(S12)。
図8は、ソフトウェア使用許諾契約の同意画面の一例を示す図である。同意画面においては、ソフトウェア使用許諾契約に対する同意/非同意を選択する操作入力が許容されている。ソフトウェア使用許諾契約への同意を示す操作入力を行うと次の手順に係る画面へ遷移する。一方、ソフトウェア使用許諾契約への同意を拒否する操作入力を行うと次の手順に係る画面へ遷移せず、例えばデジタル証拠作成プログラム13が終了される。
同意画面においてソフトウェア使用許諾契約への同意を示す操作入力を行うと、次に、デジタル証拠作成プログラム13を実行するPC5は、案件情報の入力を促す案件情報設定画面を表示する(S3)。
図9は、案件情報設定画面の一例を示す図である。案件情報設定画面においては、少なくとも、案件名、担当者名、及び証拠作成日時の入力が許容及び必須となる。証拠作成日時については、BIOS(Basic Input/Output System)が保持する日時情報を取得して案件情報設定画面に表示する構成としてもよく、このBIOSが保持する日時情報を証拠作成日時として使用してもよいし、作業者が手作業で入力した日時情報を証拠作成日時として使用してもよい。その他、案件情報設定画面においては案件内容等の付記的事項を入力可能にしてもよい。案件情報設定画面においては、必須入力要素の入力が完了すると次の操作入力画面である機能選択画面へ遷移させる操作入力が可能となる。
このようにして案件情報を設定すると、デジタル証拠作成装置1の記憶媒体11内に、当該案件のログ等のデジタル証拠を保存するための専用のデジタル証拠記憶領域Rlog(案件名のフォルダ等)が形成される。すなわち、デジタル証拠作成プログラム13は、1つのデジタル証拠作成装置1内に特定の案件に紐づけられた1つのデジタル証拠記憶領域を形成する。
このように、ステップS1の判定によりデジタル証拠記憶領域Rlogの存在しないデジタル証拠作成装置1の記憶媒体11に対してデジタル証拠記憶領域Rlogを形成する構成とすることにより、1つのデジタル証拠作成装置1内には、1つの案件名に対応する1つのデジタル証拠のみが保存されることとなり、作成済みの証拠を破損したり、複数案件の証拠が混在したりすることが無く、証拠管理性が向上する。なお、デジタル証拠の保存に使用済みのデジタル証拠作成装置1は、ワイプ処理等の工場出荷状態に戻す所定の処理を行うことにより、再び別案件のデジタル証拠の保存用に使用可能となる。
以上のソフトウェア使用許諾契約への同意、案件情報の入力の後、デジタル証拠作成に係る機能選択画面が表示される(S4)。
図10は、機能選択画面の一例を示す図である。本実施形態においては、機能選択画面には「S.M.A.R.T.の表示」、「ハードウェア情報」、「ディスクの複製」、「ディスクの保全」の少なくとも4つの項目が選択可能に表示される。また、図10には明示されていないが、項目「メイン」のドロップダウンリストから「ドライバインストール」の項目も選択可能である。なお、図10に示す機能選択画面には、「パーティションの保全」、「ファイル・フォルダの保全」の2つの項目も表示されているが、原記憶媒体を論理ディスクとしてマウントしていないため選択不可となっている。また、図10に示す機能選択画面においてタブの×アイコンを操作するとデジタル証拠作成プログラム13が終了する(S12)
機能選択画面のいずれかの項目が選択されると、第1処理部F1が選択された項目に応じた処理を実行し、第2処理部F2〜第5処理部F5が選択された項目に応じて実行される処理のログを作成する。ここで作成されるログは、いずれも原記憶媒体から作成される解析用記憶媒体の法的証拠能力を間接的に示すものであり、本実施形態においては、エビデンスログL1とオペレーションログL2の2種類のログが作成される。エビデンスログL1は、解析用記憶媒体に記録されるデータの実体面に係るログであり、オペレーションログL2は、解析用記憶媒体の作成に際して作業者が行う操作入力に係るログである。
機能選択画面において「S.M.A.R.T.の表示」を選択する操作入力を行うと、対象となり得るディスクを選択するディスク選択画面が表示される(S51)。
図11は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスクの一覧、各ディスクに対応させて表示されるディスク選択用のチェックボックス、「診断実行」「戻る」「キャンセル」の各操作ボタンがそれぞれ表示される。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
ディスクに対応するチェックボックスにチェックを入れて「診断実行」ボタンを操作入力すると、制御部51は、記憶媒体50の自己診断機能(Self-Monitoring, Analysis and Reporting Technology)を利用してS.M.A.R.T.の各検査項目に係る情報を取得し、S.M.A.R.T.の表示画面をディスプレイ56に表示する(S52)。
図12は、S.M.A.R.T.の表示画面の一例を示す図である。S.M.A.R.T.の表示画面には、S.M.A.R.T.の結果とともに、「閉じる」ボタンが表示される。「閉じる」ボタンが操作入力されるとS.M.A.R.T.の表示画面が閉じ、図10に示す機能選択画面に戻る。
S.M.A.R.T.は、記録媒体の健康状態(寿命)を間接的に示すものであり、表示されたS.M.A.R.T.に基づいて、作業者は原記憶媒体が解析用記憶媒体を作成する際に発生するデータアクセスに耐えうるか否かの目安となる。S.M.A.R.T.は、本実施形態において原記憶媒体の耐用指標に相当する。記憶媒体50の健康状態が悪い場合、デジタル証拠作成作業が原記憶媒体に与える負荷によって、原記憶媒体の法的証拠性を損なう可能性が懸念される。
S.M.A.R.T.の各検査項目のうち、特に、記憶媒体50に対する読み・書き・転送に係るエラーを示す検査項目の値が記憶媒体50の耐用指標として重要である。例えば、読み込み時のエラー率を示す「Raw read error rate」、代替処理待ちの不良セクタ数を示す「Current pending sector count」、UltraDMA転送時のCRCエラー数を示す「UDMA CRC error rate」、書き込み時のエラー率を示す「Write error rate」が、読み・書き・転送に係るエラーを示す検査項目である。
S.M.A.R.T.の各検査項目及び/又は検査項目の値は、検査項目の値が示す記憶媒体50の健康状態に応じて表示態様を相違させてもよい。例えば、検査項目の値が示す記憶媒体50の健康状態に応じてS.M.A.R.T.の各検査項目及び/又は検査項目の値を異なる色で着色して表示してもよい。より具体的には、検査項目の値が所定の規定範囲を下回る場合は緑文字、当該所定の規定範囲内の場合は青文字、当該所定の規定範囲を超える場合は赤文字で表示する等の着色が可能である。健康状態に応じて表示態様を変えて表示することにより、記憶媒体50の健康状態の一瞥把握性が向上する。
「S.M.A.R.T.の表示」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集の開始日時、付記的説明、各種ハードウェア情報、S.M.A.R.T.の表示機能を呼び出したことを示す情報、等が記録される。各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Address、等が例示される。
「S.M.A.R.T.の表示」の実行時に作成されるオペレーションログL2には、概略、「S.M.A.R.T.の表示」の操作入力、ディスクを選択するチェックボックスに対する操作入力、「診断実行」を指示する操作入力、診断対象に選択されたディスク名、「閉じる」を指示する操作入力、等が記録される。このように、解析用記憶媒体の作成の状況を逐一記録したログを作成することにより、法的証拠能力を担保された解析用記憶媒体を作成することができる。
機能選択画面において「ハードウェア情報」を選択する操作入力が行われると、制御部51がPC5の各ハードウェアに係る情報を取得し、ハードウェア情報一覧表示画面をディスプレイ56に表示する(S61)。
図13は、ハードウェア情報一覧表示画面の一例を示す図である。ハードウェア情報一覧表示画面には、ハードウェア情報の一覧の他、「閉じる」の操作ボタンが表示される。ハードウェア情報一覧表示画面の「閉じる」ボタンを操作入力されると、図10に示す機能選択画面に戻る。
ハードウェア情報は、PC5及び記憶媒体50の機器の仕様を示す情報である。「ハードウェア情報」が選択された時に、その情報を取得・表示されるハードウェアとしては、PC5、記憶媒体50、CPU、RAM、BIOS、ネットワークアダプタ、等が例示される。これらのハードウェア情報は、PC5及び記憶媒体50の機器固有情報であり、記憶媒体50の使用環境情報でもあるため、記憶媒体50の同一性を間接的、補助的に証明する情報となり得る。
記憶媒体50に係るハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA等が例示される。PC5に係るハードウェア情報としては、Computer Manufacturer、Computer Model、Computer Serial等が例示される。CPUのハードウェア情報としては、Processor ID、Processor Manufacturer、Processor speed、等が例示される。RAMのハードウェア情報としては、Computer Memory sizeが例示される。BIOSのハードウェア情報としては、BIOS Manufacturer、BIOS Version、BIOS Date等が例示される。ネットワークアダプタのハードウェア情報としては、Network Adapter、Network Description、Network Mac Address等が例示される。
「ハードウェア情報」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集を開始した日時、付記的な説明、各種ハードウェア情報が記録される。各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
「ハードウェア情報」の実行時に作成されるオペレーションログL2には、概略、「ハードウェア情報」の操作入力、ハードウェア情報の一覧表示画面の「閉じる」の操作入力について記録される。
機能選択画面において「ディスクの複製」を選択する操作入力が行われると、ディスク選択画面が表示される(S81)。
図14は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスク名の一覧、各ディスク名に対応するディスク選択用のチェックボックス、ハッシュタイプを選択するラジオボタン、「戻る」、「次へ」、「キャンセル」のボタン、がそれぞれ表示されている。作業者が「戻る」ボタンを操作入力すると図10に示す機能選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
作業者がディスク名に対応するチェックボックスにチェックを入れ、所望のハッシュタイプを選択して「次へ」ボタンを操作入力すると選択内容確認画面が表示される図15参照)。選択内容確認画面には、選択内容の他に、「戻る」、「複製実行」、「キャンセル」の各ボタンが表示されている。また、選択内容確認画面には、物理的複製の作成処理の進捗を示すプログレスバーも表示されている。作業者が「戻る」ボタンを操作入力すると図14に示すディスク選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
「複製実行」のボタンが操作入力されると、制御部51が、原記憶媒体の物理的複製を、ワイプ処理等の工場出荷状態に戻す所定の処理を行ってデジタル証拠作成装置1に接続された記憶媒体に作成する処理を開始する(S82)。制御部51は、デジタル証拠作成元となる記憶媒体50の全領域のデータを、いわゆるDisk-to-Disk方式により、PC5に接続される別の記憶媒体に保存する。併せて、デジタル証拠作成元となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、記憶媒体11に保存する。デジタル証拠作成元のデータから作成したハッシュ値を複製データとともに記憶媒体11に保存することにより、作成された解析用記憶媒体のデータが改変されていないことを証明することができる。
ディスクの複製の実行前に、デジタル証拠作成プログラム13は、ディスクの複製先となる記憶媒体の情報の有無を確認し、記憶媒体に情報が記憶されている場合は、ディスクの複製を中止する保護機能を有している。これにより、複製元と複製先の取り違えや、有用な証拠が記憶された記憶媒体を誤って複製先に使用したりする事態を防止できる。複製先となる記憶媒体の情報の有無は、例えば、パーティションの有無の確認(MBR末尾のBOOT Signature等の固定値の有無)により行うことができる。
物理的複製の作成が完了すると、複製作業のサマリーを表示するサマリー画面が表示される(図16参照)。サマリー画面には、複製が正常終了したか否か、複製に要した時間、エラーの発生回数、複製元のディスク情報、複製先のディスク情報、ハッシュタイプ、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
このように、機能選択画面の「ディスクの複製」の項目の選択により実行される処理は、原記憶媒体の全領域に対してセクタ毎に行う複製であり、原記憶媒体のディスクの先頭セクタから末尾セクタまで、データ格納部分だけでなくデータ非格納部分も含めて、原記憶媒体のデータの並び順通りに解析用記憶媒体上に再現する。本実施形態において、ディスクの複製により作成される解析用記憶媒体は、原記憶媒体の物理的複製を構成する。
「ディスクの複製」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、複製の前処理として取得されるS.M.A.R.T.の情報、ディスクの物理的複製の設定情報、ディスクの物理的複製の進捗情報、複製の後処理として取得されるS.M.A.R.T.の情報、が記録される。ディスクの物理的複製処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ディスクの複製処理によるディスクへの影響度合を判断可能となる。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ディスクの物理的複製の設定情報としては、複製作業の作業名(Disk Duplication等)、複製元の記憶媒体の情報、複製先の記憶媒体の情報、作成するハッシュタイプ、等が記録される。
ディスクの物理的複製処理の進捗情報としては、ディスクの物理的複製処理を開始した旨、作成したハッシュ値、複製処理のサマリー、複製の成否、複製に要した時間、等が記録される。
「ディスクの複製」の実行時に作成されるオペレーションログL2には、ディスクの物理的複製の作成を選択する操作入力、ソース記憶媒体の選択、複製先のディスクを選択する操作入力、「次へ」をクリックする操作入力、ハッシュタイプを指定する操作入力、複製開始を指示する操作入力、等が記録されている。
機能選択画面において「ディスクの保全」を選択する操作入力が行われると、保全対象ディスクを選択するディスク選択画面が表示される(S71)。
図17は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスク名が一覧表示されており、各ディスク名に対応づけて選択用のチェックボックスが表示されている。ディスク選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。ディスク名に対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S72)。
図18は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、ハッシュタイプを選択するラジオボタン、保全データのフォーマット(E01イメージファイル形式、DDイメージファイル形式等)を選択するラジオボタンが、それぞれ表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図17に示すディスク選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、ディスクの保全によって作成されるイメージデータのファイル名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。所望のハッシュタイプと保全データのフォーマットを選択して「次へ」ボタンを操作入力するとオプション設定画面が表示される(S73)。
図19は、オプション設定画面の一例を示す図である。オプション設定画面には、保全データの分割保存の要否を選択するラジオボタン、不良セクタのスキップの要否を選択するラジオボタンがそれぞれ表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図18に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション設定画面において、分割保存の要否と不良セクタのスキップの要否を選択し、分割保存を選択した場合は分割サイズを指定して「次へ」ボタンを操作入力すると保全内容確認画面が表示される(図20参照)。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図19に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50のデータを、いわゆるDisk-to-File方式により、各種デジタル・フォレンジックツールで利用可能なイメージファイル形式(E01イメージファイル形式、DDイメージファイル形式等)にイメージファイル化したソフトウェア的複製を記憶媒体11に保存する(S74)。この保存処理の進捗は、図20に示す保全内容確認画面プログレスバーにより表示される。
イメージファイル形式でデジタル証拠を作成することにより、データ改変の可能性を低くすることができる。併せて、原記憶媒体となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、イメージファイルとともに記憶媒体11に保存する。原記憶媒体のデータから作成したハッシュ値をイメージファイルと共に保存することにより、作成されたイメージデータのデータが改変されていないことを証明することができる。
イメージファイルの作成と保存が完了すると、ディスクの保全の作業のサマリーを表示するサマリー画面が表示される(図21参照)。サマリー画面には、ディスクの保全が正常終了したか否か、ディスクの保全に要した時間、エラーの発生回数、保全元のディスク情報、イメージファイルの保存先のディスク情報、ハッシュタイプ、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
このように、機能選択画面の「ディスクの保全」の項目の選択により実行される処理は、原記憶媒体の全領域に対してセクタ毎に行う複製であり、原記憶媒体のディスクの先頭セクタから末尾セクタまで、データ格納部分だけでなくデータ非格納部分も含めてイメージデータ化して解析用記憶媒体上に保存する。ディスクの保全の項目の選択により作成される解析用記憶媒体は、原記憶媒体のソフトウェア的複製に相当する。
「ディスクの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、ディスクの保全の前処理としてのS.M.A.R.T.の情報、ディスクの保全の設定情報、ディスクの保全の進捗情報、ディスクの保全の後処理としてのS.M.A.R.T.の情報、等が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ディスクの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元のディスクの情報、保存先のフォルダ名及びファイル名の情報、作成するハッシュタイプ、作成するイメージデータのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明、が記録される。
ディスクの保全の進捗情報としては、ディスクのイメージファイルの作成処理を開始した旨、スキップした不良セクタ、作成したハッシュ値、トータルのスキップ数、トータルの読み込みエラー数、保全処理のサマリー、ディスクの保全の成否、ディスクの保全に要した時間、が記録される。
ディスクの保全処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ディスクの保全処理によるディスクへの影響度合を判断可能となる。
「ディスクの保全」の実行時に作成されるオペレーションログL2には、ディスクの保全を選択する操作入力、保全元のディスクを選択する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名の入力、使用するハッシュタイプを選択する操作入力、保存イメージデータの形式を選択する操作入力、保全イメージデータの作成開始を指示する操作入力、まとめの表示と終了を指示する操作入力、等が記録されている。
機能選択画面において「ドライバインストール」を選択する操作入力が行われると、第1OSプログラム12に組み込むドライバを選択するドライバ選択画面が表示される(S111)。
デジタル証拠作成装置1には、ドライバ格納用の記憶領域Rdrv(フォルダ等)が予め用意されている。デジタル証拠作成装置1を解析で用いるパソコン等に論理ディスクとしてマウントされると、デジタル証拠作成装置1の記憶領域Rdrvには当該解析で用いるパソコン等を介して各種デバイスのドライバファイル(INFファイルを含むその他ドライバファイル(SYS、DLL、CAT等))を保存することができる。デジタル証拠作成プログラム13を実行するPC5が有する第6処理部F6は、記憶領域Rdrvにアクセスして記憶領域Rdrvに記憶されているドライバの一部又は全部を第1OSプログラム12に組込むドライバ組込機能を提供する。
図39は、ドライバ組込画面の一例を示す図である。ドライバ組込画面には、ドライバセットアップ情報を記述したINFファイルを選択するためのドロップダウンメニューと、選択されたINFファイルに対応するドライバの情報を表示するドライバ内容表示部と、が設けられている。ドライバ組込画面には、「ドライバ組込み」、「キャンセル」のボタンも表示されている。「キャンセル」ボタンが操作入力されると、ドライバ組込機能を終了して、図10に示す機能選択画面に戻る。
ドロップダウンメニューでINFファイルを選択して「ドライバ組込み」ボタンを操作入力すると、デジタル証拠作成プログラム13は、ドロップダウンメニューで選択されたINFファイルのドライバを、第1OSプログラム12に組み込む処理を行う(S112)。ドライバの組み込みが完了すると、図40に示すように、ドライバの正常組込が完了した旨の表示を行う。その後、必要に応じて、ドロップダウンメニューに表示される他のINFファイルに対応するドライバについても同様の操作を行ってドライバ組込みを行うことができる。
このように、専用のドライバ保存用の記憶領域Rdrvを用意し、当該記憶領域に作業者自らが必要なドライバファイルを保存して自由にドライバ組込みを行えるようにしてあるため、第1OSプログラム12に予め組み込み済みのドライバではアクセスが不可能であったPC5内のデバイスや外部接続機器にもアクセスしてデジタル証拠を作成可能となる。
具体的な一例を挙げると、PCI Expressで接続されるSSD(Solid State Drive)のように通常のインターフェース接続の記憶媒体と異なる態様で接続された記憶媒体についても、所要のドライバを組み込むことによりアクセス可能となる。また、複数台の記憶媒体を組み合わせて構築するディスクアレイ装置は、従来、ディスクアレイ装置を構成する記憶媒体毎にディスクの複製や保全を行っており、解析時に各記憶媒体に分散記憶された情報を再構築して一連の情報を復元する手間を要していたが、本実施形態に係るドライバ組込機能を利用してRAIDコントローラーのドライバを組み込むことにより、ディスクアレイ装置に記憶された情報を一連の情報として読みだして複製や保全を作成することが可能となる。
「ドライバインストール」の実行時には、特にエビデンスログL1へのログの記録は行われないが、ドライバインストールによって新たにドライバを組み込んだデバイスについては、他の項目の実行時に記録されるハードウェア情報の中に、組み込まれたドライバファイルに記録されている当該デバイスの名称等が記録されるようになる。
「ドライバインストール」の実行時に作成されるオペレーションログL2には、インストールするドライバを選択する操作、選択したドライバをインストールした事実、ドライバインストール画面を閉じる操作等が記録される。
(2)第2の実施形態:
図22は、本実施形態に係るデジタル証拠作成システム200の構成を示す図である。デジタル証拠作成システム200は、上述した第1の実施形態と同様に、デジタル証拠作成装置1をPC5に接続した構成により実現される。
本実施形態において、PC5の記憶媒体50には第2のオペレーティングシステム(第2OSプログラム57)が記憶されており、記憶媒体50がPC5においてブートデバイスに設定されている。このため、PC5の電源を投入すると、記憶媒体50に記憶された第2OSプログラム57によってブートされる。
第2OSプログラム57は、記憶媒体50から読みだされてPC5で実行される際に、デジタル証拠作成装置1、及び、PC5の記憶媒体50を論理ディスクとしてマウントする。その後、PC5で稼働する第2OSプログラム57上で、デジタル証拠作成装置1の記憶媒体11に記憶されたデジタル証拠作成プログラム13が実行される。
第2OSプログラム57上で実行されるデジタル証拠作成プログラム13は、上述した第1の実施形態に係るデジタル証拠作成プログラム13とほぼ同様の機能を実現する。ただし、第1の実施形態の機能選択画面(図10参照)の「ディスクの複製」の項目及び「ドライバインストール」の項目については選択不可となる一方、「パーティションの保全」、「ファイル・フォルダの保全」の2つの項目は選択可能になる。原記憶媒体としての記憶媒体50を論理ディスクとしてマウントしているためである。なお、パーティションは特定領域に相当し、ファイル・フォルダは、特定フォルダ又は特定ファイルに相当する。
このため、上述した第1の実施形態の図3に示すフローチャートに対応する処理は、図23に示す流れとなる。図24は、図23に示す「パーティションの保全」の操作項目が選択された際に実行される処理の流れを示し、図25には、図23に示す「ファイル・フォルダの保全」の操作項目が選択された際に実行される処理の流れを示す。なお、「パーティションの保全」及び「ファイル・フォルダの保全」以外の操作項目が選択された際に実行される処理は、第1の実施形態と同様であるため(上述した「ディスクの複製」の項目と「ドライバインストール」の項目は除く)以下では説明を省略する。
機能選択画面において「パーティションの保全」を選択する操作入力が行われると、保全対象パーティションを選択するパーティション選択画面が表示される(S91)。
図26は、パーティション選択画面の一例を示す図である。パーティション選択画面には、選択可能なパーティション名が一覧表示されており、各パーティション名に対応づけて選択用のチェックボックスが表示されている。パーティション選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。パーティション名に対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S92)。
図27は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、ハッシュタイプを選択するラジオボタン、保全データのフォーマット(E01イメージファイル形式、DDイメージファイル形式等)を選択するラジオボタンが、それぞれ表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図26に示すパーティション選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、パーティションの保全によって作成されるイメージデータのファイル名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。ハッシュタイプと保存データのフォーマットを選択して「次へ」ボタンを操作入力するとオプション設定画面が表示される(S93)。
図28は、オプション設定画面の一例を示す図である。オプション設定画面には、保全データの分割保存の要否を選択するラジオボタン、不良セクタのスキップの要否を選択するラジオボタンがそれぞれ表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図27に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション設定画面において、分割保存の要否と不良セクタのスキップの要否を選択し、分割保存を選択した場合は分割サイズを指定して「次へ」ボタンを操作入力すると保全内容確認画面が表示される。
図29は、保全内容確認画面の一例を示す図である。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図28に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50の指定されたパーティションを、いわゆるDisk-to-File方式により、各種デジタル・フォレンジックツールで利用可能なイメージファイル形式にイメージファイル化したソフトウェア的複製を記憶媒体11に保存する(S94)。この保存処理の進捗は、図29に示す保全内容確認画面プログレスバーにより表示される。
イメージファイル形式でデジタル証拠を作成することにより、データ改変の可能性を低くすることができる。併せて、原記憶媒体となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、イメージファイルとともに記憶媒体11に保存する。原記憶媒体の指定されたパーティションのデータから作成したハッシュ値をイメージファイルと共に保存することにより、原記憶媒体から作成されたイメージファイルがその後改変されていないことを証明することができる。
パーティションの保全が完了すると、保全作業のサマリーを表示するサマリー画面が表示される(図30参照)。サマリー画面には、保全が正常終了したか否か、保全に要した時間、エラーの発生回数、保全元のパーティション情報、保全先のファイル情報、ハッシュタイプ、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
「パーティションの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、パーティションの保全の前処理としてのS.M.A.R.T.の情報、パーティションの保全の設定情報、パーティションの保全の進捗情報、パーティションの保全の後処理としてのS.M.A.R.T.の情報、が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
パーティションの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元の記憶媒体の情報、作成したイメージデータの保存先とファイル名の情報、作成するハッシュタイプ、作成するイメージデータのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明 、が記録される。
パーティションの保全の進捗情報としては、パーティションの保全処理を開始した旨、作成したハッシュ値、パーティションの保全処理のサマリー、パーティションの保全の成否、パーティションの保全に要した時間、が記録される。
パーティションの保全の前後でS.M.A.R.T.の情報を記録することにより、パーティションの保全処理による原記憶媒体としての記憶媒体50に対する影響度合を、ログから判断可能となる。
「パーティションの保全」の実行時に作成されるオペレーションログL2には、パーティションの保全を選択する操作入力、保全元の記憶媒体を選択指定する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名の入力、使用するハッシュタイプを選択する操作入力、保存するイメージデータの形式を選択する操作入力、バックアップの開始を指示する操作入力、まとめの表示と終了を指示する操作入力、等が記録されている。
機能選択画面において「ファイル・フォルダの保全」を選択する操作入力が行われると、保全対象ファイル又はフォルダを選択するファイル・フォルダ選択画面が表示される(S101)。
図31は、ファイル・フォルダ選択画面の一例を示す図である。ファイル・フォルダ選択画面には、選択可能なファイル名やフォルダ名が一覧表示されており、各ファイル名・フォルダ名に対応づけて選択用のチェックボックスが表示されている。ファイル・フォルダ選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
ファイル・フォルダに対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S102)。
図32は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、が表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図31に示すファイル・フォルダ選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、ファイル・フォルダの保全によって作成されるフォルダ名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。その後、「次へ」ボタンを操作入力するとオプション設定画面が表示される(S103)。
図33は、オプション選択画面の一例を示す図である。オプション設定画面には、不良セクタのスキップの要否を選択するラジオボタンが表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図32に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション選択画面において、不良セクタのスキップの要否を選択し、「次へ」ボタンを操作入力すると保全内容確認画面が表示される(図34参照)。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図33に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50の指定されたファイル又はフォルダをAS IS(ファイル名、フォルダ名、サイズ、タイムスタンプ等を維持した形式)で、且つ読み取り専用属性で記憶媒体11に保存する(S104)。この保存処理の進捗は、図34に示す保全内容確認画面プログレスバーにより表示される。
なお、このパーティションの保全やファイル・フォルダの保全においては、第2OSプログラム57が使用中のファイル等の保全が必要な場合もあるため、本実施形態に係るデジタル証拠作成プログラム13は、ボリューム上のファイルを使用・非使用に関わらず現在の状態のコピーを作成するコピー機能を有している。このようなコピー機能の一例として、OSに実装されているボリューム・シャドウ・コピー・サービス(VSS)があるが、本実施形態では、これと同様又は類似のコピー機能をアプリケーションであるデジタル証拠作成プログラム13に実装しており、第2OSプログラム57が使用中のファイル等の保全を可能化してある。
このように、本実施形態に係るパーティションの保全やファイル・フォルダの保全では、第2OSプログラム57の稼働中に当該第2OSプログラム57が使用中のファイル等も含めて限りなく原本の中身と同様の状態で保全できる。これにより、サイバー攻撃等のように情報処理装置内で活性中のマルウェア等をタイムスタンプを維持した状態で捕獲することができる。また、クラウド上で閲覧するメールやブラウザ等の場合のようにRAM等の一時的な記憶媒体にキャッシュされた情報についても保全することができる。
また、AS ISでファイル・フォルダを保存することにより、解析に特殊な専門的機器を使わずに保全データの解析を行うことができる。併せて、上述したように保全データを読み取り専用属性で保存しているため、特殊な専門的機器を使わずとも、AS ISのデータを改変することがない。
保全が完了すると、保全作業のサマリーを表示するサマリー画面が表示される(図35参照)。サマリー画面には、保全が正常終了したか否か、保全に要した時間、エラーの発生回数、保全元のファイル・フォルダ情報、保全先のファイル情報、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて機能選択画面に戻る。
「ファイル・フォルダの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、ファイル・フォルダの保全の前処理としてのS.M.A.R.T.の情報、ファイル・フォルダの保全の設定情報、ファイル・フォルダの保全の進捗情報、ファイル・フォルダの保全の後処理としてのS.M.A.R.T.の情報、が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ファイル・フォルダの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元の記憶媒体の情報、作成した書庫ファイルの保存先とファイル名の情報、作成する書庫ファイルのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明 、が記録される。
ファイル・フォルダの保全の進捗情報としては、ファイル・フォルダの保全処理を開始した旨、ファイル・フォルダの保全処理のサマリー、ファイル・フォルダの保全の成否、ファイル・フォルダの保全に要した時間、が記録される。
ファイル・フォルダの保全処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ファイル・フォルダの保全処理による原記憶媒体への影響度合を判断可能となる。
「ファイル・フォルダの保全」の実行時に作成されるオペレーションログL2には、ファイル・フォルダの書庫ファイルの作成を選択する操作入力、保全元のファイル・フォルダを選択する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名を入力する操作入力、使用するハッシュタイプを選択する操作入力、バックアップの開始指示の操作入力、終了を指示する操作入力、等が記録される。
(3)第3の実施形態:
図36は、本実施形態に係るデジタル証拠作成システム300の構成を示す図である。デジタル証拠作成システム300は、上述した第1の実施形態のPC5が内蔵又はPC5に外部接続されるCD−ROMドライブ等の記憶媒体読取装置301に、デジタル証拠作成プログラム13が記憶されたCD−ROM等の記憶媒体302をセットした構成により実現される。
記憶媒体302には、上述した第1の実施形態で説明した第1OSプログラム12及びデジタル証拠作成プログラム13が記憶されており、PC5は記憶媒体読取装置301をブートデバイスに設定されている。このため、PC5の電源を投入すると、記憶媒体読取装置301にセットされた記憶媒体302に記憶された第1OSプログラム12によってブートされる。その後、PC5で稼働する第1OSプログラム12上で、記憶媒体302に記憶されたデジタル証拠作成プログラム13が実行される。
このようにして第1OSプログラム12上で実行されるデジタル証拠作成プログラム13は、上述した第1実施形態に係るデジタル証拠作成プログラム13と同様の機能を実現することができる。上述した各ログは、CD−ROM等の記憶媒体302に記憶されたデジタル証拠作成プログラム13の実行時にも、PC5に接続されたデジタル証拠作成装置1の記憶媒体11に記憶される。また、CD−ROM等の記憶媒体302に記憶されたデジタル証拠作成プログラム13の実行時にも、上述した第1の実施形態と同様に、PC5に接続されたデジタル証拠作成装置1の記憶媒体11に設けられたドライバ記憶領域Rdrvに記憶されたドライバファイルを第1OSプログラム12に組み込むことができる。
なお、記憶媒体302に記憶されているデジタル証拠作成プログラム13においても、PC5にデジタル証拠作成装置1が接続されていることを動作条件(起動条件、機能実行条件、等)としてある。すなわち、デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されている場合には起動・機能実行可能であるが、PC5にデジタル証拠作成装置1が接続されていない場合には、起動・機能実行できない構成としてある。
(4)第4の実施形態:
図37は、本実施形態に係るデジタル証拠作成システム400の構成を示す図である。デジタル証拠作成システム400は、上述した第1の実施形態と同様にPC5にデジタル証拠作成装置1を接続した構成、又は上述した第3の実施形態と同様にPC5にデジタル証拠作成装置1を接続しつつ記憶媒体読取装置301にデジタル証拠作成プログラム13が記憶された記憶媒体302をセットした構成であるが、本実施形態においてはPC5に他の記憶装置401,402が外部接続されている。本実施形態においては、記憶装置401が原記憶媒体を構成し、記憶装置402が解析用記憶媒体となる。
本実施形態においては、デジタル証拠作成装置1を接続されたPC5は、いわゆるデュプリケータと同様の機能を実現するものであり、デジタル証拠作成装置1からブートされてPC5上で実行される第1OSプログラム12は、記憶装置401,402を論理ディスクとしてマウントせず、物理ディスクとしてアクセスする。これにより、原記憶媒体としての記憶装置401の法的証拠能力を低下させることなく、記憶装置401内のデータを複製等した解析用記憶媒体としての記憶装置402を作成することができる。
(5)その他変形例:
デジタル証拠作成装置1は、ディスクの保全、パーティションの保全、ファイル・フォルダの保全、等の保全機能で作成したイメージデータや書庫ファイル等の保全データを、証拠性を担保しつつ他の記憶媒体に複製する機能を有していてもよい。この複製機能は、例えば、デジタル証拠作成装置1に添付して頒布されるCD−ROM等に記憶された保全データ複製プログラムを情報処理装置にインストールして実行することにより実現することができる。
この複製機能は、保全データと一緒に保存されているハッシュ値と、保全データから新たに生成するハッシュ値とを比較し、ハッシュ値が一致する場合には保全データと当該ハッシュ値とを他の記憶媒体に複製する。このように、保全データの複製に先立ってハッシュ値の比較を行うことにより、保全データを解析用パソコンに複製したり、別の記憶媒体に複製したりする際に、証拠の正当性を担保された複製を作成することができる。
また、デジタル証拠作成装置1に添付して頒布されるCD−ROM等に、デジタル証拠作成装置1を工場出荷時の状態に回帰させるワイプ機能を実現する初期化プログラムを記憶しておく。この初期化プログラムを情報処理装置上で実行することにより、デジタル証拠作成装置1の記憶媒体の全セクタにヌル文字を書き込む等の初期化が行われる。逆に言えば、添付のCD−ROMに記憶された初期化プログラム以外では、工場出荷時の状態に回帰させることができない構成とする。これにより、デジタル証拠作成装置1に記憶された保全データが誤って消去されることを防止できる。
なお、本発明は上述した実施形態に限られず、上述した実施形態の中で開示した各構成を相互に置換したり組み合わせを変更したりした構成、公知技術並びに上述した実施形態の中で開示した各構成を相互に置換したり組み合わせを変更したりした構成、等も含まれる。また、本発明の技術的範囲は上述した実施形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。