ネットワーク WG
Request for Comments: 3227
BCP: 55
分類: ベストカレントプラクティス
D. Brezinski
In-Q-Tel
T. Killalea
neart.org
2002年2月

English

証拠収集とアーカイビングのためのガイドライン
(Guidelines for Evidence Collection and Archiving)

このメモの位置づけ

この文書は、 インターネットの「現時点における最善の実践(ベストカレントプラクティス)」を示すものであり、 改善するために議論と示唆を求めるものです。 このメモの配布に制限はありません。

著作権表記

Copyright (C) The Internet Society (2002). All Rights Reserved.

要旨

「インターネットセキュリティ小辞典(Internet Security Glossary)」において定義されているように、 「セキュリティインシデント」とは、 「セキュリティ関連のシステムイベントであり、 システムのセキュリティポリシーが破壊もしくは突破されるイベント」です。 本書の目的は、システム管理者に、 このようなセキュリティインシデントに関する証拠の収集とアーカイビングについてのガイドラインを提供することにあります。

証拠収集が適切に行われた場合、攻撃者を逮捕する際に一層有用で、 訴訟の際に採用される可能性が高まります。

目次

  1. 1 はじめに
    1. 1.1 本書中の用語の用法
  2. 2 証拠収集における指導原則
    1. 2.1 揮発性の順序
    2. 2.2 避けるべき事項
    3. 2.3 プライバシーについての考慮事項
    4. 2.4 法的な考慮事項
  3. 3 収集手順
    1. 3.1 透明性
    2. 3.2 収集ステップ
  4. 4 アーカイビング手順
    1. 4.1 カストディの連鎖
    2. 4.2 アーカイブ
  5. 5 必要となるツール
  6. 6 参考文献
  7. 7 謝辞
  8. 8 セキュリティについての考慮事項
  9. 9 著者のアドレス
  10. 10 著作権表記全文

1 はじめに English

「インターネットセキュリティ小辞典 (Internet Security Glossary)」 [RFC2828] において定義されているように、 「セキュリティインシデント」とは、 「セキュリティ関連のシステムイベントであり、 システムのセキュリティポリシーが破壊もしくは突破されるイベント」です。 本書の目的は、システム管理者に、 このようなセキュリティインシデントに関する証拠の収集とアーカイビングについてのガイドラインを提供することにあります。 「すべてのシステム管理者が、 セキュリティインシデントに直面するたびごとに、 これらのガイドラインに忠実に従うべき」と主張することが、 我々の意図ではありません。 むしろ、我々は、 「システム管理者が侵入に関する情報を収集し防護することを選んだ場合、 何をする必要があるか」についての指針を提供することを望んでいます。

このような収集は、システム管理者の役割に相当な苦労をもたらします。 近年、OS(オペレーティングシステム)の再インストールを迅速にすること、 および「既知」の状態へのシステムの回復を容易にすることについては、 大いに進展し、それゆえ、 より魅力的な「容易なオプション」をもたらしました。 一方、 証拠をアーカイブすることの容易なやり方(困難なオプション)を提供することは、 あまり進展しませんでした。 さらに、増加するディスクとメモリの容量と、 攻撃者によるステルス及び痕跡隠喩戦術の一層広範な使用は、 この問題を悪化させてきました。

証拠収集が適切に行われた場合、攻撃者を逮捕する際に一層有用で、 訴訟の際に採用される可能性が高まります。

あなたは、これらのガイドラインを、 あなたのサイトの証拠収集手順を規定するための基礎として利用する必要があり、 あなたのサイトの手順を、 あなたのインシデント対処文書中に組み込む必要があります。 本書中の本ガイドラインは、 すべての司法管轄圏において適切であるとは限りません。 あなたが、あなたのサイトの証拠収集手順を規定し終えたら、 法執行者にそれらが適切であることを確認する必要があります。

1.1 本書中の用語の用法 English

本書中のキーワード"REQUIRED", "MUST", "MUST NOT", "SHOULD", "SHOULD NOT"および"MAY"は、 「RFCにおいて要請の程度を示すために用いるキーワード(Key words for use in RFCs to Indicate Requirement Levels)」 [RFC2119] に記述されているように解釈されるべきものです。

2 証拠収集における指導原則 English

2.1 揮発性の順序 English

証拠を収集する際に、あなたは、 揮発性の高いものから揮発性の低いものへの順に進行する必要があります。 ここに、典型的システムについての揮発性の一例を示します。

2.2 避けるべき事項 English

証拠を壊すことは、あまりに簡単ですが、逆は困難です。

2.3 プライバシーについての考慮事項 English

2.4 法的な考慮事項 English

コンピュータ証拠には、次の事項が必要とされます。

3 収集手順 English

あなたの収集手順は、可能な限り詳細化される必要があります。 あなたのインシデント対処手順全般に関する限り、それらは、 曖昧でない必要があり、 収集手順において必要とされる意思決定の量を最小化する必要があります。

3.1 透明性 English

証拠を収集するために使用する手法は、 透過的かつ再現可能である必要があります。 あなたは、利用した手法を詳細に再現することを備える必要があり、 それらの手法を独立の専門家によってテストされる必要があります。

3.2 収集ステップ English

実施可能である場合、あなたは、チェックサムを生成し、 収集された証拠に暗号技術的に署名することを検討する必要があります。 それは、これにより強い証拠の連鎖を保全することが一層容易になるからです。 この際に、証拠を変更してはなりません。

4 アーカイビング手順 English

証拠は、厳密にセキュアにしなければなりません。 さらに、「カストディの連鎖」は、明確に文書化される必要があります。

4.1 カストディの連鎖 English

あなたは、「どのように証拠が発見されたか」、 「どのように扱われたか」および「それについて起きたすべての事項」を明確に記述することができるはずです。

下記事項が、文書化される必要があります。

4.2 どこに、どのようにアーカイブするか English

可能な場合、 (あまり使われていない保存メディアではなく)普通に利用されているメディアが、 アーカイビングに利用される必要があります。

証拠へのアクセスは、厳格に制限される必要があり、 明確に文書化される必要があります。 認可されていないアクセスを検知することができる必要があります。

5 必要となるツール English

あなたは、証拠収集と法務に必要なプログラムを、 読み取り専用メディア(例:CD)上に持つ必要があります。 あなたは、利用する前に、 あなたが管理している各 OS(オペレーティングシステム)用のこのようなツールセットを備える必要があります。

あなたのツールセットは、下記のものを含む必要があります。:

あなたのツール中のプログラムは、 スタティック(静的)にリンクされている必要があり、 読みとり専用メディア上のライブラリ以外のいかなるライブラリの利用を要求するものであってはなりません。 これでも、最近のルートキット(rootkit)は、 ロード可能なカーネルモジュールとしてインストールされる可能性があるので、 あなたは、あなたのツールがシステムの全体像を提供していない可能性があることを考慮する必要があります。

あなたは、 あなたが利用するツールの真正性と依拠可能性について証言する準備をする必要があります。

6 参考文献

[FAR1999] Farmer, D., and W Venema,
"Computer Forensics Analysis Class Handouts",
http://www.fish.com/forensics/
[RFC2119] Bradner, S.,
「RFCにおいて要請の程度を示すために用いるキーワード(Key words for use in RFCs to Indicate Requirement Levels)」,
BCP 14, RFC 2119, 1997年3月.
[RFC2196] Fraser, B.,
「サイトセキュリティハンドブック (Site Security Handbook)」,
FYI 8, RFC 2196, 1997年9月.
[RFC2350] Brownlee, N. and E. Guttman,
「コンピュータセキュリティインシデント対応への期待(Expectations for Computer Security Incident Response)」,
FYI 8, RFC 2350, 1998年6月.
[RFC2828] Shirey, R.,
「インターネットセキュリティ小辞典(Internet Security Glossary)」,
FYI 36, RFC 2828, 2000年5月.

7 謝辞 English

我々は、Harald Alvestrand氏、Byron Collie氏、Barbara Y. Fraser氏、 Gordon Lennox氏、Andrew Rees氏、 Steve Romig氏およびFloyd Short氏から受け取った生産的なコメントに大いに感謝します。

8 セキュリティについての考慮事項 English

本書全体が、セキュリティ論点を検討しています。

9 著者のアドレス

Dominique Brezinski
In-Q-Tel
1000 Wilson Blvd., Ste. 2900
Arlington, VA 22209
USA

EMail: dbrezinski@In-Q-Tel.org

Tom Killalea
Lisi/n na
Bro/n Be/al A/tha na Muice
Co. Mhaigh Eo
IRELAND

電話: +1 206 266-2196
EMail: tomk@neart.org

翻訳者のアドレス

宮川 寧夫
情報処理振興事業協会
セキュリティセンター

EMail: miyakawa@ipa.go.jp

10 著作権表記全文

Copyright (C) The Internet Society (2002). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

謝辞

RFC編集者のための資金は現在、 Internet Societyによって提供されています。