リーガルテック活用の最前線―第２回 データ収集―証拠データの複製の作成 (㈱FRONTEO編著／弁護士ドットコム㈱・櫻庭信之著『リーガルテック活用の最前線―AI・IT技術が法務を変える』より)

新聞や雑誌でも報じられているように、近年のリーガルテック分野の発展は目を見張るべきものがあります。このたび、（株）ぎょうせいは、『リーガルテック活用の最前線―AI・IT技術が法務を変える』を発刊しました。リーガルテックの最新動向から企業内不正調査、知財調査業務、契約業務など具体的な活用事例まで、さまざまな具体例を示しながら、わかりやすく解説する書となっています。第２回は本書第２章におけるデジタル・フォレンジック調査の流れから「データ収集」の部分を抜粋してお届けします。

証拠データの複製の作成

　データの収集のステップで行うことは、簡単にいうと調査対象となるパソコンなどのデバイス内に保存されているデータの複製の作成である。

　まず、複製を作成するためのコピー先ハードディスクを準備する。このハードディスクについては、あらかじめ完全消去しておき、いかなる残留データもない状態にしておく必要がある。完全消去にあたっては、実際にある特定の情報を上書きするような書き込みを行う。コンピュータデータは、ビットという情報の最小単位で構成されており、すべてが0か1の集合体である。それを事前にすべて0もしくは1になるように上書きし、後に残留データとして影響が出ないようにする。

　そのうえで、調査対象のパソコンなどに保存されているデータを完全消去済みのハードディスクに複製する。

　一般的なファイルの複製は、Windowsのエクスプローラを用いてハードディスク内の現存するファイルのみをコピー・アンド・ペーストするイメージであるが、フォレンジック調査におけるデータの複製にあたっては、使用していない領域もしくは過去使っていたデータがある領域に潜在的に証拠が残っている可能性があるので、ハードディスク内のすべてをそのままコピーすることが必要となる。たとえば、ハードディスクが500GB（Gigabyte）や1TB（Terabyte）というものであれば、全く同じ大きさのデータサイズでコピーを行う。元が500GBのハードディスクであれば、500GBのデータをとるのである。それによって、現存するデータのほかに、過去に削除されたが復元できる状態で残っている可能性のあるデータの確保が可能となる。また、原本のデータをそのままコピーすることで証拠性が保持できる。つまり、データ収集にあたっては、現存・確認できるデータのみを複製するのではなく、ハードディスク内そのものを完全に複製する。これをフォレンジックコピーとよぶこともある。

　このハードディスク内の完全複製については、100％物理コピーとイメージファイルコピーの2種類がある。100％物理コピーは、完全なクローン・コピーをいう。隠された領域や削除データ領域を含む調査対象のハードディスクの全領域を、同一のサイズを有する別のハードディスクにコピーするものである。たとえば、500GBのハードディスクのデータ収集の場合は、同じ500GBの空のハードディスクを準備して、元のハードディスクのデータを空のハードディスクに完全に同じ形で移すことになる。一方、イメージファイルコピーとは、隠された領域や削除データを含む調査対象ハードディスクの全領域を、一定サイズのファイルの塊（イメージファイル）に分割し作成する方式である。すべてのデータの領域を複製する点は100％物理コピーと同様であるが、たとえば、500GBのハードディスクから1GB（もちろん2GBなど他のサイズでも可）のファイルを500個作成する。

　つまり、指定したデータ量ごとのファイルで複製を作成し、全体のデータを複製する方法である。

　以前は、最初に100％物理コピーを作成した後、複製されたデータをイメージファイルに変換するという2ステップをとっていたが、最近は、100％物理コピーをとらず、証拠データの原本から直接イメージファイルコピーをとるケースが増えている。

＊本稿は、（株）FRONTEO編著／弁護士ドットコム㈱・櫻庭信之著『リーガルテック活用の最前線―AI・IT技術が法務を変える』の一部を抜粋したものです。