フォレンジック-物理コピーと論理コピーの違い
フォレンジックの世界では、物理的なコピーと論理的なコピーの違いを理解することは非常に重要です。どちらも不揮発性情報であるハードディスクなどのディスクに記載されている内容を複写する際に用います。
揮発性情報と不揮発性情報の違いについては、以前下記で取り上げていますので、参考にしてみてください。
物理コピーの詳細
まずは両者の違いを知るところから始めます。物理コピーは、フォレンジックにおいて物理的なディスクドライブの内容を完全に複写するコピー方法になります。つまり、ハードディスクであれば、先頭セクタから最終セクタに至るまでの全てのデジタルデータを複写します。
このコピーを用いると、1ビットの違いもない完全な複写が可能になります。最終的に法的に通用するための厳格な管理が必要なフォレンジックにおいては、重要な手法になるということがお分かりいただけるのではないでしょうか?
このコピーを用いる最大のメリットは、現在OSが管理している以外の領域にあるデータも複写することができるという点にあります。管理外の領域とは、例として挙げれるのは以前説明したスラック領域があります。
物理コピーでは、こういったスラック領域のデータも残さずコピーされますので、意図的に削除されたデータなどが残存している可能性が高まり、有用性があります。
また、スラック領域以外にもドライブのパーティション情報のような管理用のデータ(これをメタデータといいます)も複写できます。そのため証拠になる可能性の高い情報や、それを補助する支援情報が手に入りやすくなるコピー方法だと言えるでしょう。
なお、当然ではありますが、利用者が作成した例えばWordのドキュメントデータファイルや、音声・画像データなども丸ごと複写されます。
論理コピーの詳細
では続いて、論理コピーについて見ていきましょう。論理コピーは別名「ファイルシステムコピー」とも呼ばれ、その名の通り、OSのファイルシステムが管理しているデータを複写します。
一番単純でわかりやすいのは、Windowsのようなグラフィカルインターフェースを持つOSで、該当のフォルダをドラッグアンドドロップで別なハードディスクにコピーするようなイメージです。利用者及びOSからフォルダやファイルとして認識しているものを複写します。理解しやすいコピー方法だと言えるでしょう。
物理コピーが全てのセクタをコピーするのと違って、フォルダやファイルだけコピーするというのが大きな違いです。この点をしっかりと理解しておきましょう。
物理コピーと論理コピーの使い分け方
さて、ここまでのお話で、証拠性を重要視するフォレンジックにおいては、全てのデジタルデータを複写することができる物理コピーを行った方が良いと考える方も多いと思います。確かにそれはその通りです。
スラック領域のように、不正を行った者が削除したデータを保持することができるという点で、物理コピーを選択するほうが好ましいのは間違いありません。しかし、物理コピーにおいては全てのデジタルデータをコピーするという性質上、コピーに膨大な時間がかかります。
最近のハードディスク等の保存可能容量は、近年ますます増加する一方です。そのため、コピーにかかる時間は無視できません。
セキュリティインシデントへの対応は時間との勝負です。時間的な制約がある中では、物理コピーという手段を取りたくてもそれが許されない場合も多いです。
また、特定のログファイルを確認したい、といったように調査の目的が明確に定まっているならば、全てのデジタルデータを複写するのは効率的ではありません。この場合は、特定のファイルに狙いを定めて論理コピーを実行する方が費用対効果が高くなります。
このように、物理コピーと論理コピーのどちらを選択するのかというのは、証拠の完全性と調査における効率性とのトレードオフになります。
ただ、時間的猶予があるようであれば、完全性が確保できる物理コピーを第一義に考えるのが好ましいといえます。
