複製装置に消去機能が付いていることが通常ですが、消去作業に複製装置を使ってしまうと、他の仕事に影響が出るかもしれないのと、どうせ消すだけですので Drive eRazer のように単独で実行できるお手軽なのがあると便利ですかね。
Drive eRazer Pro
http://www.wiebetech.com/products/Drive_eRazer.php
まぁ消去できるならなんでも良い気がしないでもないですが、Drive eRazer Pro では "Secure Erase" に対応しているので。ただ、消去方法に細かい指定がある場合には、もっと専用の装置とかのほうがいいかもしれません。
いずれにせよ、ソフトでやるより機械でやらせるほうが消去時間は早いはずですが。
個人的には Wiebetech の製品では色々欲しいのがあったりします。
これ↓さしておくと、スクリーンセイバーとかの実行を防げるので、なんとなく欲しい(笑)
Mouse Jiggler
http://www.wiebetech.com/products/MouseJiggler.php
細かいものでは、タグ付けるのとか、カメラとか色々細かいのがあるんですけど、その辺りは運用と好みな部分が大きいですかね。扇風機も欲しくなるんですよね、HDD とか結構熱を持ちますから冷やしながら作業したい時とか小型のが欲しくなります。
何はともあれ?HDD の複製装置ですね。*1
最近は小型のも多いですが、対応するインターフェイスとして何があるかが重要でしょうかね。ちなみに個人的には IDE が基本で SATA は変換コネクタを経由しないといけないタイプは嫌いです(笑)、できれば変換コネクタなしで IDE/SATA がつながる装置が好きです。(単に好きか嫌いかだけですが、コネクタの接触とか気にしないといけないのは微妙だったりします)
今から買うのであれば、SAS 対応も考えたほうがいいかもしれませんが、これまた対応している機種が限られているのと値段が・・・
個人的には昔から YEC 社の製品(米国仕様の NINJA とか)を使っていますが、日本だと Image MASSter Solo3 Forensic 使っているところも多いみたいですね。
HDDへの書き込みを禁止する装置、IDE/SATA に対応しているものが多いが、SAS へ対応しているのはまだ見当たらない気がする。
EnCaseを使っている場合、GSI 社から出ている FastBloc 2 Field Edition を使うと、EnCase 画面上で Write Block の項目が反応して書き込み禁止状態かどうかを識別できるようになる。
FastBloc 2 Field Edition
http://www.guidancesoftware.com/products/ee_hardware.aspx#field
とはいえ他にも色々な種類のライトブロッカーが出ているわけですが、使っている人のお話とかを聞いていると、個人的にはこれも良さそうだなぁと思ってます。HPA/DCO の識別用の LED が付いてるのはいいですね。
Forensic UltraDock
http://www.wiebetech.com/products/Forensic_UltraDock.php
自分では使ったことないですが、以前別の調査員が使っていて小さくていいなぁと思ったのはこれ↓ですかね。それほど大きくなく、場所を取らないので複数個をもって歩くにはいいみたいでした。
Tableau T15-RW Forensic SATA Pocket Bridge - YELLOW R/W
http://www.tableau.com/index.php?pageid=products&model=T15-RW
他にも色々と出ていると思いますが、いずれにしても、何か選ぶ時には NIST のページとか参考になりますね。
Hardware Write Block
http://www.cftt.nist.gov/hardware_write_block.htm
そういえば、カードリーダー(ライトブロック)装置とかもありますね。
Write Protect Card Reader
http://www.icsforensic.com/index.cfm/action/product.show/id_product/8207ed2b-2720-49fe-a5df-4b66d3d58fa4/id_category/c14d69f1-dcb6-47ab-8be6-1b13217f5b84
個人的にはソフトウェアでライトブロックして USB 経由でカードリーダー繋げるとかですけど、普通のカードリーダー使うと書き込みできちゃいますからその辺りどうするかでしょうかね。
個人的に気に入って使っている*1ハードウェアベースのはこれ↓です。一週間くらいライトブロックかけっぱなしで USB 機器をつなげておくとかの時には重宝?します。
Tableau T8 Forensic USB Bridge
http://www.tableau.com/index.php?pageid=products&model=T8
USB デバイスのライトブロックを行なう方法としては、ハードウェアではなく、ソフトウェアでやる方法もありますが、ソフトウェアベースでライトブロックする時には FastBloc Software Edition(FastBloc SE)をよく使ってます。米国では法執行機関向けにソフトウェアのライトブロックツールが提供されていたりしますが、民間でソフトウェアベースのライトブロックを実現しようとすると他に見当たらない気がしてます。(最近調べてないんですが)
*1:自宅にあるライトブロッカー
帯電防止マットやグローブ、帯電防止ストラップ、HDD やらを入れる袋がいりますね。グローブはサイズや滑り止めが付いているかなどもありますので好みに応じてですが、結構すぐに汚れてしまいますね>白いグローブ
個人的にはスーツではなく作業着の方が好きですが、作業着も帯電防止の素材のやつがありますね。
現地に持っていくノートパソコンを選ぶ際の基準は、まずは「HDD の交換が簡単か?」ということでしょうかね。DELL か Lenovo が候補にあがってくると思います。使ったハードディスクは後からワイプしたりすることが多いので、HDD を簡単に取り出して消去や複製・復元ができると楽だと思います。
ちなみに、個人的には DELL をどうも信用してないので、最近は Lenovo ですが、まぁどっちもどっちって噂はあるような。ちなみに OS は XP です。Vista はテストくらいでしか使ってません。
重くても DELL を選択するとよいケースとしては、メモリの最大容量とか、E-SATA ポートを標準で持っているとかその辺りでしょうかね。拡張カードで、S-ATA か FireWire 辺りは繋げられるようにしておくといいですね。
これも HDD が簡単に着脱でき、それなりに早い CPU とメモリがいっぱいあれば、なんでもいいような気がしないでもないです。(持ち運ぶのであれば、小さいほうがいいですが)
よく付けるのは e-SATA の拡張カードですかね。オンボードで載ってる機種もありますが、ホットプラグとか性能面では拡張カード刺したほうがよいという個人的な印象持ってます。オンボードの e-SATA ポートで数百ギガのコピーとかがんがんやってると固まったりした経験があるので、拡張カード使うことが多いです。
グラフィックカードはなるべくパワフルなやつで、デュアルディスプレイ対応できるのがいいですね。EnCase は画面横に広い方が使いやすいですから。
OS を 64bit にするか 32bit にするかは、扱うデータ次第ですかね。EnCase の 64bit 版も結構いいんですが、他のツールを使おうとしたりするときに、インストーラが対応してなくて 64bit 環境に入らないとかもあるので、両方あると便利ですね。
本体に内蔵する HDD のサイズは、個人的にはいつも小さくしてます。使い終わった後のワイプとか復元する時間を短くしたいのと、そんなに大容量なサイズは OS 領域としては必要ないので。
なんでもいいんでしょうけど、袋の外から中身が見えると便利ですね。最近は無印良品で売っているナイロンメッシュハードケースのようなものにケーブル類とかを入れてますかね。
オフィスの中で整理するには、KING JIM のケーブル&アダプタケースとか便利かもしれません。
山ほど製品がある気がしますが、ラトックシステムのドライブケースがごろごろしてます。他の製品も試したことあるんですが、相性の問題なのかわかりませんが、これまた数百ギガとかコピーしたりするとこけることがあって、どうもラトックシステムのばかり使ってしまいますが、単に好みの問題かもしれません。ラトックシステムのケースも接触の部分やケーブルは気をつけて接続の確認をしないと変になった経験ありますから。。。
HELIX や EnCase 起動ディスクとかがブートできればなんでもよいような気がしますが、USB のバスパワーだけでは足りないケースも想定して AC アダプタもあったほうがいいですね。
