フォレンジック(forensic)とは、一般的「法の、法廷の」という意味で、対象となるのはパソコンやサーバー、ネットワーク機器、携帯電話、情報家電などである。容疑者のコンピュータを押収してハードディスクから証拠となるファイルを探し出したり、サーバのログファイルから不正アクセスの記録を割り出したり、破壊・消去されたディスクを復元して証拠となるデータを押収したりといった技術が該当する。また、コピーや消去、改ざんが容易であるという電子データの性質に対応して、データが捏造されたものかどうかを検証する技術や、記録の段階でデータが改ざんできないよう工夫したりハッシュ値やデジタル署名などで同一性を保全する技術なども含まれる。
デジタル証拠( Digital Evidence )とは、 "デジタル形式で転送されたり、保存されている証拠としての情報"を意味する。コンピュータ上の証拠に関する国際組織( IOCE )のデジタル証拠についての科学作業班( SWGDE )は、デジタル証拠の定義については、 "コンピュータの証拠、デジタルオーディオ、デジタルビデオ、携帯電話、デジタルFAX等を含む"と説明している。
不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術を言う。 "forensics" には「法医学」「科学捜査」「鑑識」といった意味があり、 分かりやすく意訳すれば「デジタル鑑識」である。 対象となるのはパソコンやサーバ、ネットワーク機器、携帯電話、情報家 電など、デジタルデータを扱う機器全般。容疑者のコンピュータを押収して ハードディスクから証拠となるファイルを探し出したり、サーバのログファイル から不正アクセスの記録を割り出したり、破壊・消去されたディスクを復元 して証拠となるデータを押収したりといった技術が該当する。また、コピー や消去、改ざんが容易であるという電子データの性質に対応して、データ が捏造されたものかどうかを検証する技術や、記録の段階でデータが 改ざんできないよう工夫したりハッシュ値やデジタル署名などで同一性を 保全する技術なども含まれる。
証拠の取得で得られたデータから有用な情報を分類することを証拠解析という。有用な情報は、事件によるが、一般的に次のような証拠解析技術が使われている。
コンピュータ・フォレンジックは適用媒体に応じて、様々な形で存在する。現在行われているほとんどのコンピュータ・フォレンジックは、ディスクフォレンジックに該当する。最近では、メールフォレンジックとWebフォレンジックを活用するケースも増加している。
フォレンジックで、データ復旧は、多くの役割をもっている。ハードディスクの構造的な部分や物理的なトラブルを復旧することができる環境と、ハードディスク上の証拠を見つけ、分析する作業の多くの部分がデータ復旧と密接に関わっているからである。
'ネットワークフォレンジック'という用語は、不慣れだが、これは、既存のプロトコルアナライザでから、一歩進んだものと認識すれば、理解しやすい。
ネットワークフォレンジックは、障害発生時に、これらの原因が何なのかを明確し、問題を解決することにより、ネットワークの安定化を目指すのが主な目的である。
これら、ネットワークフォレンジックの特徴と、システムの機能について説明していく。
ネットワーク管理者はネットワークプロトコルの解析ツールを使用して、ネットワーク障害の原因を把握し、ワームウイルスを視覚的に検出したり、アプリケーションの応答時間を分析するなど、ネットワーク障害のコンサルティングを行っている。数年の間、この分野で働きながら感じたものは、アナライザの必要性を認めるエンジニアが増えているということだ。必要性を知っているというのは、分析ツールを一度でも使ったことがあるか、あるいはネットワークに問題が発生した際に、分析ツールを探したことがあるからだ。初期のプロトコルアナライザは、ネットワークに侵入するためのツールとして使っていた。しかし、今では、多くの管理者がネットワーク上で発生するトラブルと障害の原因を見つけるために使用している。