@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

雑談:なぜアンチという文字列を含めるのか?

雑談(無駄話)

明日は AVTOKYO JP の開催日ですね。個人的にはこの手のイベントに参加するのは久しぶりで聴講者(というかいち参加者)としてはとても楽しみです。あれ?そもそもAVTOKYOって参加するの初めてだったり?昔行った事あったかな?

今回も当初は行く予定はなかったのですが、園田さんのマジックにより?なぜか行く事になっていたという感じですが、基本的には若者の心を折る野次を飛ばしていればいいと聞いてます。

さて、今年こそは元年と言われ続けはや数十年?のITセキュリティ業界にあって、デジタル・フォレンジック業界はその中でも更に際物というか絶滅種というか、不人気というか、面倒というか、ツールがゴミというか、あくまで個人的にはですが、良いイメージがない職種ではないかと勝手に考えています。

面白いのか、面白くないのか?という視点では、面白いのですが、TPSの考え方などを見ていると、付加価値時間が非常に少ないのではないか?という部分がとても気になります。これはお客様にとっても課金という点ではとても重要な部分かと思います。*1

技術的な部分においては、常に新しいOSやデバイスが登場し、それによって従来とは異なる手法や解析方法を確立していく必要があります。最近ではWindows 8や8.1が登場し、8.1では暗号化が標準になっているといったお話もあるようです。

セキュリティという観点では暗号化は確かに必要なのですが、隠されたものでも調べたいという部分があるフォレンジック調査では邪魔な機能以外何者でもありません。

そして不思議な事に、日ごろは暗号化を積極的に進めているIT担当者などが、いざ問題が発生すると「暗号化を解けませんか?」と質問するのですが、それ解けたら困りますよね?という素朴な疑問が発生するわけですが、これは完全愚痴ですね。

いずれにしても、IT環境の進化に伴いデジタル・フォレンジックは日々困難な状況に追い込まれていて、それを打破して一歩先に行けてない状況があるのではないでしょうか?。*2

  1. 増え続ける対象データサイズ(対物量)
  2. 対象サイズや数量に応じて増加する解析時間(対時間)
  3. 結果的に増えるコスト(費用対効果)

この3点を解決する為に、フォレンジック技術者は何を解決すべきか?、どう取り組むべきか?、一歩先へ行くためにはどうすればよいか?という事を問いたいわけです。

 

一つの案としては、対象範囲を絞り、解析時間を短くする事でコストを抑える考えを持つ事もできますが、そこで犠牲になるものは何でしょうか?、それは必要とされる品質を維持できているのでしょうか?

コストを抑えるため、調査範囲を限定し、それによって得られた結果です、と言ってしまう事が、正しいと言えることなのでしょうか?*3

 

 明日は、この辺りを世代を担っている若者たちに聞いてみたいと、そうオジサンは考えているわけです。

 

最近、容量 6T のハードディスク販売のお話が出ていましたが、伝統的な手法を取るとすれば、まず6T ハードディスクのイメージファイルを生成する工程が発生します。

ソフトウェアではなく、専用のハードウェアでイメージを作成する方が早いとは思いますが、それでもかなりの時間待たされることになるはずです。まず、人間が待たされるというのは良くないはずです。

更に台数が増えた場合、装置の数も増やす必要がありますし、平行処理するにしても限界が出てきそうです。設備を増やすコストは誰が負担すべきでしょうか?、大容量HDDを利用していた顧客にコストを転嫁すべきでしょうか?

複製装置が動作しコピーを行っている時間は、付加価値時間と考えるのかなと思いますが、その間待たされる人間の時間をどうすべきでしょうか?

ライトブロッカー(書き込み禁止装置)を使い、書き換えできない状況で調査から着手し、その後イメージを取るという工程を考える事もできます。これは例えばLiveでの調査や、リモートからの調査では一般的に発生する状況だと思います。

この利点は調査工程を前倒しする事ができます。ただし、解析ツールによってはイメージを生成し、そのイメージファイルに対してでなければ、全ての機能を使って処理を開始する事ができないタイプがあり、物理ディスクをつなげてすぐに全部処理するといった事ができない状況も発生します。

フォレンジック調査では、案件に応じて実施すべき内容が多岐にわたり、データ内容によりそれを組み合わせたりする必要がでてきます、人によるスキルレベルの違いもあり均一化できないだろうと以前は考えていました。

しかし、P105 「事例 少量生産の航空宇宙部品メーカーにおけるばらつきの隔離」、という部分を読んでみて我々の業務にも取り入れることができるのではないか?と反省したりするわけです。

 

ザ・トヨタウェイ 実践編 (上)

ザ・トヨタウェイ 実践編 (上)

  • 作者: ジェフリー・K・ライカー,稲垣公夫,デイビッド・マイヤー
  • 出版社/メーカー: 日経BP社
  • 発売日: 2005/11/11
  • メディア: 単行本
  • 購入: 1人 クリック: 11回
  • この商品を含むブログ (4件) を見る
 

 

 

*1:課金が問題になるのは主に民間ですが、民間以外においても工程全体の流れや結果が出るまでの時間という視点では短い方がよいという部分は同じではないでしょうか?

*2:残念なことに、私なんぞは一歩先にいくどころか5歩くらい後ろか、周回遅れになってます。

*3:最近、個人的にTPSを勉強していますが、根底にある社会に対して正しいことをしようとする部分がとても興味深い考え方だと感じています。