フォレンジックデータバックアップ (証拠・痕跡の収集) 機能

注意:説明画像内において、以下のような黄緑色のチェックマークで示されている項目、また、各項目・機能の説明において有料オプションであると記載されている項目は、有料のオプションパックに含まれる内容です。オプションを購入されていないお客様の環境では、オプションの設定項目は表示されません。

【フォレンジックデータ】

注意:この機能・設定は有料のオプションパックに含まれる内容です。

 この機能では、マルウェア、ウイルス、ランサムウェアなどによる攻撃の痕跡や証拠となるデータを収集することができます。

 ウイルスやマルウェアやランサムウェアによって実行された不正なアクティビティ、マシンのデータが盗まれたり変更されたりする場合について調査を行いたい場合でも、電磁的な証拠がマシンに残っていなければ、調査を行うことができません不可能です。マルウェアによって、自らの痕跡(ファイルやトレースなど)を削除されたり、マシン自体が使用不可になったりする場合も考えられます。

 [フォレンジックデータ] オプションを利用することにより、法的な証拠・調査に利用可能な電磁的な証拠を収集することができます。本機能による電磁的な証拠として使用可能なのは、使用されていないディスクスペースのスナップショット、メモリダンプ、実行中のプロセスのスナップショットです。[フォレンジックデータ] オプションは、マシンの完全バックアップにおいてのみ利用可能です。

現在、[フォレンジックデータ] オプションがサポートされているOSは、以下のバージョンのWindowsのみとなります。

  • Windows 8.1, Windows 10
  • Windows Server 2012 R2 ~ Windows Server 2019

注意:

  • バックアップモジュールを組み込んだ保護計画をマシンに適用した後、[フォレンジックデータ] の設定を後から変更することはできません。[フォレンジックデータ] オプションを利用する場合は、新規の保護計画を作成してください。
  • フォレンジックデータ収集機能が有効化されたバックアップは、VPN経由でネットワークに接続している等で、インターネットに直接アクセスができないマシンおよびBitLockerで暗号化されたディスクを持つマシンをサポートしていません。

フォレンジックデータのバックアップ場所としてサポートされているのは、以下の場所となります。

  • クラウドストレージ
  • ローカルフォルダ
  • ネットワークフォルダ

注意:

  • ローカルフォルダのみの場合は、USBで接続した外付けHDDのローカルフォルダのみがサポートされています。
  • ローカルダイナミックディスクは、フォレンジックバックアップを行うことができる場所としてサポートされていません。

フォレンジックデータが含まれているバックアップでは、自動的に公証 (データが変更されていないことを、データのハッシュツリーを外部のノータリー(公証)サービスに送信することによって保証する) が行われます。フォレンジックバックアップでは、調査担当者が、通常のディスクバックアップには含まれないディスク領域を分析することができます。

【フォレンジックバックアップのプロセス】

フォレンジックバックアップの動作では、システムが以下の処理を実行します。

  1. 未処理のメモリダンプを収集し、実行中のプロセスのリストを作成します。
  2. ブータブルメディアを用いて、自動的にマシンを再起動します。
  3. 占有済みの領域と未割り当ての領域の両方を含んだバックアップを作成します。
  4. バックアップしたディスクの公証を行います。
  5. OSを再起動して、保護計画で設定された残りの作業を引き続き実行します。

【フォレンジックデータの収集の設定】

  1. バックアップ管理画面から、[デバイス] > [すべてのデバイス] に進みます。または、[計画] から保護計画を作成することも可能です。
  2. 設定を行いたいデバイスを選択して、[保護] をクリックします。
  3. 新規、もしくは未適用の保護計画で [バックアップ] モジュールを有効にします。
  4. [バックアップの対象] として [マシン全体] を選択します。
  5. [バックアップオプション] の [変更] をクリックします。
  6. [フォレンジックデータの収集] を有効にします。システムが自動的にメモリダンプを収集し、実行中のプロセスのスナップショットを作成します。
    注意: フルメモリダンプには、パスワードなどの機密データも含まれている可能性があります。
  7. ロケーションを指定します。
  8. [今すぐ実行] をクリックして、フォレンジックデータのバックアップを今すぐ実行するか、スケジュールに沿ってバックアップが実行されるのを待ちます。
  9. [ダッシュボード] > [アクティビティ] から、フォレンジックデータのバックアップが正常に行われていることを確認することができます。


これによって、バックアップにフォレンジックデータが組み込まれるので、そのデータを抽出・分析することができるようになります。フォレンジックデータが含まれているバックアップには、その旨を示すマークが付きますので、[バックアップストレージ] > [ロケーション] から、[フォレンジックデータのみ] オプションをフィルタといて使用することにより、他のバックアップと区別して表示を行うことができます。

【バックアップデータからフォレンジックデータを抽出する】

  1. バックアップ管理画面から [バックアップストレージ] に進み、フォレンジックデータが含まれエチルバックアップのロケーションを選択します。
  2. フォレンジックデータのバックアップを選択し、[バックアップの表示] をクリックします。
  3. フォレンジックデータのバックアップの [復元] をクリックします。
    ・フォレンジックデータのみを抽出する場合は、[フォレンジックデータ] をクリックします。
    ・フォレンジックバックアップ全体を復元する場合は、[マシン全体] をクリックします。起動モードなしでバックアップが復元されます。ディスクが変更されていないことを、確認することができるようになります。