今頃気がつきました、すいませんm(_ _)m

デジタル・フォレンジック・コミュニティ2004
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2004/12/2004.html

コメント欄で夏井先生が指摘されている部分が大変参考になります。
同じデータであるかはハッシュ値で同一性を簡単に確認できますが、稼働中システムやらログは常に変化しているので、ハッシュ値で同じか確認することができません。技術的には確認しようがないと思いますので、そいう場合にはどいう手順が推奨されるんでしょうか？という感じの質問だったのですが、私の質問方法がアレでしたすいません。
会場ではツールに関するお話も出ていましたが、個人的には“推奨される手順”に従う形でツールなりを選択すればいいと思うのですが、“推奨される手順”がよくわかってないわけですハイ。
とはいえ、RFC3227 に記述されている“4.1 カストディの連鎖*1”を守っておけば日本でも基本的に大丈夫なのではないかと思っていたりはします。ただ、もう少し具体的な手順や内容について法律の専門家からご意見というか『要求仕様』をぜひいただきたいと思っている今日この頃ですが・・・*2