この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
この国際規格は、潜在的なデジタル証拠を扱う際の特定の活動に関するガイドラインを提供します。これらのプロセスは、潜在的なデジタル証拠の特定、収集、取得、保存です。これらのプロセスは、デジタル証拠の完全性を維持するように設計された調査で必要です。デジタル証拠を取得する際の許容可能な方法論は、法的措置や懲戒処分、その他の必要な訴訟における証拠の許容性に貢献します。この国際規格は、潜在的なデジタル証拠の分析段階で役立つ可能性のある非デジタル証拠の収集に関する一般的なガイドラインも提供します。
この国際規格は、潜在的なデジタル証拠の識別、収集、取得、保存に責任を負う個人に指針を提供することを目的としています。これらの個人には、デジタル証拠ファースト レスポンダー (DEFR)、デジタル証拠スペシャリスト (DES)、インシデント対応スペシャリスト、科学捜査研究所のマネージャーが含まれます。この国際規格は、デジタル機器やデジタル証拠に関わる捜査を組織的かつ公平な方法で促進し、その完全性と信頼性を維持することを目的として、責任ある個人が潜在的なデジタル証拠を世界中で受け入れられる実践的な方法で管理することを保証します。
この国際規格は、提示されたデジタル証拠の信頼性を判断する必要がある意思決定者に情報を提供することも目的としています。潜在的なデジタル証拠を保護、分析、提示する必要がある組織に適用できます。これは、多くの場合、より大きな証拠群の一部として、デジタル証拠に関連する手順を作成および評価する政策決定機関に関連します。
この国際規格で言及される潜在的なデジタル証拠は、さまざまなタイプのデジタル デバイス、ネットワーク、データベースなどから供給される可能性があります。これは、すでにデジタル形式になっているデータを指します。この国際規格は、アナログ データのデジタル形式への変換をカバーしようとするものではありません。
デジタル証拠は脆弱であるため、潜在的なデジタル証拠の完全性と信頼性を保証するために許容可能な方法論を実行する必要があります。この国際規格は、特定のツールや方法の使用を義務付けるものではありません。調査の信頼性をもたらす重要な要素は、プロセス中に適用される方法論と、方法論で指定されたタスクを実行する資格のある個人です。この国際規格は、識別、収集、取得、保存の範囲外にある潜在的なデジタル証拠を扱う際の法的手続き、懲戒手続き、およびその他の関連行為の方法論には触れていません。
この国際規格を適用するには、国内の法律、規則、規制を遵守する必要があります。これは、いかなる管轄区域の特定の法的要件に代わるものではありません。むしろ、潜在的なデジタル証拠を含む捜査における DEFR または DES の実用的なガイドラインとして機能する可能性があります。これは、デジタル証拠の分析には適用されず、法廷での潜在的なデジタル証拠の使用に関する許容性、証拠の重み付け、関連性、およびその他の司法的に管理される制限などの問題に関連する管轄区域固有の要件に代わるものではありません。この国際規格は、管轄区域間での潜在的なデジタル証拠交換の促進に役立つ可能性があります。デジタル証拠の完全性を維持するために、この国際規格のユーザーは、特定の管轄区域の証拠に対する法的要件に従って、この国際規格に記載されている手順を適応および修正する必要があります。
この国際規格には法医学的対応は含まれていませんが、適切な法医学的対応があれば、デジタル証拠の識別、収集、取得、保存のプロセスを大幅にサポートできます。フォレンジック対応とは、デジタル証拠を特定、収集、取得、保存、保護、分析できるようにするために、組織が適切なレベルの能力を達成することです。この国際規格に記載されているプロセスと活動は本質的に、インシデント発生後の調査に使用される事後対策であるのに対し、フォレンジック対応は、そのようなイベントに備えて計画を立てる積極的なプロセスです。
この国際規格は ISO/IEC 27001 および ISO/IEC 27002 を補完し、特に追加の実装ガイダンスを提供することで潜在的なデジタル証拠の取得に関する管理要件を補完します。さらに、この国際規格は、ISO/IEC 27001 および ISO/IEC 27002 とは独立した文脈で適用されます。この国際規格は、デジタル証拠および情報セキュリティ インシデントの調査に関連する他の規格と併せて読む必要があります。
Introduction
This International Standard provides guidelines for specific activities in handling potential digital evidence; these processes are: identification, collection, acquisition and preservation of potential digital evidence. These processes are required in an investigation that is designed to maintain the integrity of the digital evidence – an acceptable methodology in obtaining digital evidence that will contribute to its admissibility in legal and disciplinary actions as well as other required instances. This International Standard also provides general guidelines for the collection of non-digital evidence that may be helpful in the analysis stage of the potential digital evidence.
This International Standard intends to provide guidance to those individuals responsible for the identification, collection, acquisition and preservation of potential digital evidence. These individuals include Digital Evidence First Responders (DEFRs), Digital Evidence Specialists (DESs), incident response specialists and forensic laboratory managers. This International Standard ensures that responsible individuals manage potential digital evidence in practical ways that are acceptable worldwide, with the objective to facilitate investigation involving digital devices and digital evidence in a systematic and impartial manner while preserving its integrity and authenticity.
This International Standard also intends to inform decision-makers who need to determine the reliability of digital evidence presented to them. It is applicable to organizations needing to protect, analyze and present potential digital evidence. It is relevant to policy-making bodies that create and evaluate procedures relating to digital evidence, often as part of a larger body of evidence.
The potential digital evidence referred to in this International Standard may be sourced from different types of digital devices, networks, databases, etc. It refers to data that is already in a digital format. This International Standard does not attempt to cover the conversion of analog data into digital format.
Due to the fragility of digital evidence, it is necessary to carry out an acceptable methodology to ensure the integrity and authenticity of the potential digital evidence. This International Standard does not mandate the use of particular tools or methods. Key components that provide credibility in the investigation are the methodology applied during the process, and individuals qualified in performing the tasks specified in the methodology. This International Standard does not address the methodology for legal proceedings, disciplinary procedures and other related actions in handling potential digital evidence that are outside the scope of identification, collection, acquisition and preservation.
Application of this International Standard requires compliance with national laws, rules and regulations. It should not replace specific legal requirements of any jurisdiction. Instead, it may serve as a practical guideline for any DEFR or DES in investigations involving potential digital evidence. It does not extend to the analysis of digital evidence and it does not replace jurisdiction-specific requirements that pertain to matters such as admissibility, evidential weighting, relevance and other judicially controlled limitations on the use of potential digital evidence in courts of law. This International Standard may assist in the facilitation of potential digital evidence exchange between jurisdictions. In order to maintain the integrity of the digital evidence, users of this International Standard are required to adapt and amend the procedures described in this International Standard in accordance with the specific jurisdiction’s legal requirements for evidence.
Although this International Standard does not include forensic readiness, adequate forensic readiness can largely support the identification, collection, acquisition, and preservation process of digital evidence. Forensic readiness is the achievement of an appropriate level of capability by an organization in order for it to be able to identify, collect, acquire, preserve, protect and analyze digital evidence. Whereas the processes and activities described in this International Standard are essentially reactive measures used to investigate an incident after it occurred, forensic readiness is a proactive process of attempting to plan for such events.
This International Standard complements ISO/IEC 27001 and ISO/IEC 27002, and in particular the control requirements concerning potential digital evidence acquisition by providing additional implementation guidance. In addition, this International Standard will have applications in contexts independent of ISO/IEC 27001 and ISO/IEC 27002. This International Standard should be read in conjunction with other standards related to digital evidence and the investigation of information security incidents.