アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

仮想ディスクイメージの暗号化

まっちゃさん曰く

http://d.hatena.ne.jp/ripjyr/20091028/1256666613
ACEでディスクイメージにAES暗号化がサポートとかフォレンジックには厳しい世の中になってきましたね。

VMwareの仮想ディスクファイルを暗号化するというお話みたいですが、管理者が暗号化を強制的に解除する機能とかないんですかね?仮想ディスクのイメージファイルを搬送とかする時などの安全性を考慮しての機能みたいですが、フォレンジックというよりは、インシデントレスポンスの初期対応の方が難しくなるのではないでしょうかね。
なんらかの方法で暗号化が解除できない以上は、(そのままでは)フォレンジック調査に進めないと思われますので、ライブレスポンスの体制とか整えておかないといけないのかもしれませんが、導入する企業は事前にその辺りの手順や体制をよく考えておいていただく方が良いかもしれませんね。
『暗号化されていて見れませんので、解除できたら教えてください』というのが個人的な反応なんですが、ここで設問。

まっちゃ的ベストソリューションとして、仮想ディスクイメージを暗号化している場合に必要とされるインシデントレスポンスの体制について答えよ。なお、デジタル証拠の保全手順や体制についてはフォレンジック的な観点についても含めること。

というか、手元の VMware Workstation を Ver7 にアップグレードすべきなんだろうか...