まず結論

デジタルフォレンジックは、インシデント発生時に証拠としてデータを収集・保全・分析する技術です。
SG試験では「単なる調査か、証拠として扱う前提か」を判断できるかがポイントです。

---

直感的な説明

通常の調査とフォレンジックの違いはここです👇

• 調査 → 原因を知るため
• フォレンジック → 証拠として残すため

👉 イメージ
警察の捜査のように

• データを壊さない
• 改ざんされないようにする
• 記録を残す

ことが重要になります。

---

定義・仕組み

デジタルフォレンジックとは、

インシデント発生時に、証拠能力を保ったままデータを収集・保全・分析する技術

です。

基本の流れ：

1. データの収集（ログ・ディスクなど）
2. 改ざん防止（証拠保全）
3. 分析（原因・影響範囲の特定）
4. 報告（証拠として提示）

👉 ポイント

• 証拠能力を維持することが最重要
• 取り扱い方法が厳格に決められる

---

どんな場面で使う？

✔ 使うべき場面

• 不正アクセスや情報漏えいの調査
• インシデント発生後の原因分析
• 法的対応や責任追及が必要な場合

---

✔ 具体例

• ログの解析による侵入経路の特定
• ディスクイメージの取得と分析
• 不正操作の証拠の保全

---

✔ 注意点

• 通常の調査のようにデータを変更してはいけない
• 手順を誤ると証拠として使えなくなる

👉 実務では
「証拠として使える形で残せるか」が重要

---

よくある誤解・混同

❌ 誤解①：単なるログ分析

→ ⭕ フォレンジックは「証拠として扱う」ことが前提

---

❌ 誤解②：インシデント前の対策

→ ⭕ 発生後の対応（事後対応）

---

❌ 誤解③：自由に調査してよい

→ ⭕ 証拠性を維持するため手順が重要

---

🔥 SG試験のひっかけ

• 「原因を調査する」→ △（不十分）
• 「証拠として保全・分析する」→ ⭕

👉 キーワード
証拠・保全・改ざん防止

---

まとめ（試験直前用）

• デジタルフォレンジック＝証拠としてのデータ分析
• 目的は原因調査＋証拠保全
• インシデント後の対応
• ログ分析との違いは「証拠性」
• 「証拠として扱うか」で判断する

🔗 関連記事

• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証方式とは？3要素と多要素認証を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← マルウェア解析とは？静的解析と動的解析の違い【情報セキュリティマネジメント】 脆弱性検査とペネトレーションテストの違いとは？判断基準を整理【情報セキュリティマネジメント】 →