IT人材のためのキャリアライフスタイルマガジン

【手順書つき】フォレンジック調査の証拠保全を解説｜メモリダンプ・ディスクイメージ取得の判断基準と標準化

更新日：2026年02月10日

1分でわかるこの記事の要約サイバー攻撃対策では証拠保全が不可欠であり、その標準化と手順書整備が重要です。揮発性のメモリダンプと不揮発性のディスクイメージの適切な取得がインシデント調査の鍵を握ります。 Kill Cha […]

1分でわかるこの記事の要約

サイバー攻撃対策では証拠保全が不可欠であり、その標準化と手順書整備が重要です。
揮発性のメモリダンプと不揮発性のディスクイメージの適切な取得がインシデント調査の鍵を握ります。
Kill Chainモデルを用いた攻撃分析と、クラウド環境特有の課題への対応策を理解することが求められます。
自社での対応が困難な場合は、外部の専門家へ速やかに依頼する判断も重要となります。
定期的な訓練と手順書の継続的な見直しにより、組織のセキュリティレジリエンスを強化できます。

サイバー攻撃の手法が日々巧妙化・複雑化する現代において、企業や組織にとってセキュリティインシデントへの備えは、経営上の最重要課題の一つです。

万が一、不正アクセスやマルウェア感染、情報漏洩などのインシデントが発生した場合、被害を最小限に抑え、原因を究明し、再発防止策を講じるためには、迅速かつ的確なインシデントレスポンスが求められます。その中核を担うのが「デジタルフォレンジック」による調査です。

しかし、いざインシデントに直面すると、何から手をつけるべきか混乱し、重要な証拠を失ってしまうケースが後を絶ちません。この記事では、インシデントレスポンスの要であるフォレンジック調査、特に重要な「証拠保全」に焦点を当て、その手順の標準化について解説します。判断が難しい「メモリダンプ」と「ディスクイメージ」の取得判断基準や具体的な手順を網羅した、実践的なガイドラインを提供します。

フォレンジック調査と証拠保全の基本

デジタルフォレンジックとは？インシデントレスポンスにおける役割

デジタルフォレンジックとは、PCやサーバー、スマートフォン、クラウド環境などのデジタルデバイスに残された様々な記録（データ）を収集・分析し、法的な証拠性を明らかにするための一連の科学的調査手法を指します。「鑑識」とも呼ばれ、サイバーセキュリティ分野においては、インシデントの原因究明や被害範囲の特定、攻撃経路の解明、そして将来の対策立案に不可欠なプロセスです。

インシデントレスポンスは、一般的に「検知」「初動対応」「封じ込め」「調査（フォレンジック）」「復旧」「報告・改善」といったフェーズで構成されます。この中でフォレンジック調査は、インシデントの全容を解明するための心臓部と言えるでしょう。

攻撃者がどのような手口で侵入し（攻撃経路）、内部で何を行い（マルウェアの活動、データの窃取など）、どの範囲まで影響が及んでいるのかを、ログやファイルの痕跡といった客観的な証拠データに基づいて明らかにします。この調査結果がなければ、正確な報告書の作成や、実効性のある再発防止策の策定は不可能です。デジタルフォレンジックは、企業がセキュリティインシデントという脅威に対し、科学的根拠をもって立ち向かうための重要な武器なのです。

なぜ証拠保全の「標準化」が重要なのか？

インシデント対応の成否は、初動における「証拠保全」が適切に行われたかどうかに大きく左右されます。しかし、この証拠保全のプロセスが担当者の経験や勘に依存している「属人化」した状態では、いくつかの重大なリスクが生じます。

対応の遅延：担当者によって手順が異なると、その都度判断に迷いが生じ、迅速な対応ができません。特にメモリダンプのように消えやすい証拠（揮発性データ）は、一刻を争うため、対応の遅れは致命的です。
証拠の汚染・破壊のリスク：誤った手順で調査対象の機器を操作してしまうと、本来収集すべき証拠データを上書きしたり、改ざんしたりする可能性があります。これでは、正確な分析が困難になります。
「法的証拠能力」の確保：将来的に訴訟など法的な手続きが必要になった場合、収集したデータが「いつ、誰が、どのような手順で保全し、改ざんされていないか」を客観的に証明できなければ、証拠として認められない可能性があります。

これらのリスクを回避し、誰が対応しても一定の品質で、迅速かつ正確に証拠保全を実行できるようにするために、「調査の標準化」と、それを明文化した「手順書」の整備が不可欠なのです。標準化されたガイドラインは、組織全体のインシデント対応能力を底上げし、いざという時の混乱を防ぐための羅針盤となります。

証拠保全の4大原則

デジタルフォレンジックにおける証拠保全では、データの信頼性を担保するために、国際的に認められている以下の4つの原則を守ることが極めて重要です。

真正性（Authenticity）：収集した証拠が本物であり、改ざんや偽造がされていないこと。ハッシュ値（データから生成される固有の文字列）を保全前後で比較し、同一であることを確認するのが一般的です。
完全性（Completeness）：関連するすべての証拠が、欠損なく完全に収集されていること。ディスクイメージであれば、ディスク全体のデータをセクタ単位でコピーし、削除されたファイルの痕跡なども含めて保全します。
信頼性（Reliability）：証拠の収集・分析に使用するツールや手順が、信頼できるものであること。検証されたフォレンジックツールを使用し、その操作手順を正確に記録することが求められます。
可用性（Availability）：保全した証拠が必要な時にいつでも利用可能であり、適切に管理・保管されていること。アクセス制御や適切な媒体での保管などが含まれます。

これらの原則は、フォレンジック調査全体の土台です。手順書を作成する際には、すべてのステップがこれらの原則を満たしているかを確認することが重要です。

メモリダンプとディスクイメージ：2つの重要な証拠データ

メモリダンプとは？揮発性データからわかること

メモリダンプとは、コンピュータが動作している最中のメインメモリ（RAM）上の全データを、そのままファイルとして保存（ダンプ）したものです。メモリ上のデータは、電源を切ると消えてしまう「揮発性データ」であるため、インシデント発生時には真っ先に取得を検討すべき最重要証拠の一つです。

メモリダンプを解析することで、その瞬間にコンピュータが何をしていたかを詳細に知ることができます。

実行中のプロセス一覧：正規のプロセスに偽装したマルウェアがいないか確認できます。
ネットワーク接続情報：外部の不正なサーバー（C2サーバー）と通信していないか、その宛先IPアドレスやポート番号がわかります。
ユーザーの操作履歴：実行されたコマンドや開いていたファイル名などが記録されていることがあります。
暗号化キーやパスワード：メモリ上に平文で展開されている認証情報を発見できる場合があります。

特に、近年のマルウェアはディスク上にファイルを残さず、メモリ上のみで活動する「ファイルレスマルウェア」が増加しています。このような高度な脅威の調査において、メモリダンプの分析は攻撃の痕跡を掴むための唯一の手がかりとなることも少なくありません。

ディスクイメージとは？不揮発性データからわかること

ディスクイメージとは、ハードディスク（HDD）やSSDといったストレージデバイスの内部にある全データを、セクタ単位で完全に複製したコピーファイルのことです。こちらは電源を切ってもデータが消えない「不揮発性データ」の塊であり、フォレンジック調査における最も基本的な証拠となります。

ディスクイメージは、単なるファイルコピーとは全く異なります。ディスクイメージはファイルシステムの管理領域や未割り当て領域、さらには削除されたファイルの断片まで、ディスク上のすべてのビット情報をそのまま保全します。

ディスクイメージを分析することで、以下のような広範な情報を得ることができます。

ファイルシステム全体の構造：どのようなファイルやフォルダが存在したか、その作成・更新日時などを調査します。
削除されたファイルの復元：ユーザーがゴミ箱を空にしても、ディスクイメージからは復元できる可能性があります。
各種ログファイル：OSのイベントログやアプリケーションログなどから、不正アクセスの痕跡やマルウェアの活動履歴を追跡します。
Webブラウザの閲覧履歴やキャッシュ：攻撃者が調査のために閲覧したサイトや、フィッシングサイトへのアクセス履歴などがわかります。
レジストリ情報（Windowsの場合）：OSの設定やソフトウェアのインストール情報などを解析し、マルウェアの潜伏先を特定します。

ディスクイメージは、時間をかけて多角的な分析を行うための基礎データであり、インシデントの全体像を再構築するために不可欠です。

メモリダンプとディスクイメージの決定的な違いと比較

メモリダンプとディスクイメージは、どちらも重要な証拠ですが、その性質は大きく異なります。インシデントの種類や状況に応じて、どちらを、あるいは両方を、どのタイミングで取得するかを的確に判断する必要があります。

項目	メモリダンプ	ディスクイメージ
データの種類	揮発性データ（RAM上の動的な情報）	不揮発性データ（ディスク上の静的な情報）
主な分析対象	実行中のプロセス、ネットワーク接続、メモリ上のマルウェア	ファイル、ログ、削除データ、レジストリ
取得タイミング	インシデント発生直後（電源OFF前）	メモリダンプ取得後、または状況に応じて
取得時間	比較的短い（数分～数十分）	長い（数十分～数時間以上）
ファイルサイズ	搭載メモリ容量と同程度	ディスク/パーティション容量と同程度
主な目的	現在進行形の脅威の特定、即時的な状況把握	インシデントの全体像解明、根本原因の特定

簡単に言えば、メモリダンプは「事件発生時のスナップショット（現場写真）」であり、ディスクイメージは「事件現場全体の詳細な見取り図と物証」に例えられます。両者は補完関係にあり、両方を取得することで、より精度の高い侵害調査が可能になります。

【実践】インシデント発生時の証拠保全手順

判断基準：メモリダンプとディスクイメージ、どちらを先に取得すべきか？

インシデント対応における証拠保全の鉄則は、「消えやすいものから先に保全する」ことです。この原則に基づけば、揮発性データであるメモリダンプを、不揮発性データであるディスクイメージよりも先に取得するのが基本となります。調査対象の端末の電源を落とした瞬間に、メモリ上の貴重な情報はすべて失われてしまうからです。

ただし、インシデントの種類によっては、この原則が絶対ではない場合もあります。

ランサムウェア感染：感染が拡大している最中であれば、ネットワークから隔離し、被害拡大を止めることが最優先です。その上で、メモリダンプを取得し、暗号化プロセスや通信先を特定します。ディスクイメージは、その後取得します。
不正アクセス/内部不正：攻撃者がリモートで活動している可能性がある場合、まずメモリダンプを取得して現在の活動状況を把握します。その後、ディスクイメージを取得し、過去の侵入経路や操作履歴を詳細に調査します。
Webサーバーへの攻撃：Webサーバーの改ざん等が疑われる場合、まずメモリダンプで不審なプロセスや通信を確認します。その後、ディスクイメージを取得し、Webサーバーのログや改ざんされたファイルを解析して攻撃手法を特定します。

手順書には、まず「原則としてメモリダンプを優先する」と明記した上で、上記のようなシナリオ別の判断基準を記載しておくことが、現場の担当者の迷いをなくし、迅速な意思決定を助けます。

メモリダンプの取得手順と注意点

メモリダンプの取得は、調査対象のシステムを稼働させたまま行う必要があります。そのため、システムへの影響を最小限に抑えつつ、慎重に作業を進めなければなりません。

【手順の概要】

ツールの準備：信頼できるメモリダンプ取得ツール（例：FTK Imager Lite, Belkasoft RAM Capturer, DumpItなど）を、書き込みができないUSBメモリなどに準備します。ツールを調査対象のPC上でダウンロードするのは厳禁です。
ツールの実行：準備したUSBメモリを調査対象PCに接続し、ツールを実行します。出力先は、十分な空き容量のある外付けHDDなどを指定します。
ハッシュ値の計算と記録：取得したメモリダンプファイルのハッシュ値（MD5, SHA256など）を計算し、取得日時、担当者名、対象機器の情報などとともに正確に記録します（Chain of Custody：証拠の管理履歴）。
安全な保管：取得したデータと記録を、アクセスが制限された安全な場所に保管します。

【注意点】

取得作業自体がメモリの状態を変化させる可能性があるため、操作は最小限に留めます。
メモリダンプの取得には、搭載メモリ容量と同程度の空き容量を持つ保存先メディアが必要です。
Windows環境では、休止状態ファイル（hiberfil.sys）やページファイル（pagefile.sys）にもメモリ情報が残っている場合があるため、保全対象とすることが推奨されます。

ディスクイメージの取得手順と注意点

ディスクイメージの取得には「Live取得」と「Dead取得」の2つの方法があります。法的証拠能力を最大限に高めるためには、原本への書き込みを完全に防ぐことができる「Dead取得」が推奨されます。

【手順の概要（Dead取得の場合）】

対象システムのシャットダウン：必ず正規の手順でシャットダウンします。強制終了はファイルシステムの破損を招く恐れがあります。
書き込み防止装置（Write Blocker）の接続：調査対象のディスクを取り出し、書き込み防止装置を介してフォレンジック用のワークステーションに接続します。これは原本ディスクへの誤った書き込みを防ぐ最重要機材です。
ツールの実行：フォレンジックワークステーション上で、ディスクイメージ取得ツール（例：FTK Imager, EnCase Forensic, ddコマンドなど）を実行します。
ハッシュ値の計算と記録：取得元ディスクと、作成されたディスクイメージファイルの両方のハッシュ値を計算し、両者が完全に一致することを確認します。この情報もChain of Custodyに詳細に記録します。
安全な保管：原本ディスクとディスクイメージファイル、記録をそれぞれ安全な場所に保管します。分析作業は必ずディスクイメージに対して行い、原本は保全します。

【注意点】

ディスクイメージは非常にサイズが大きくなるため、保存先の容量を十分に確保しておく必要があります。
SSDはTRIM機能によりデータの揮発性が高まっています。インシデント発生後は、可能な限り速やかに電源を落とし、イメージを取得することが望ましいです。

Kill Chain分析とフォレンジック調査の連携

Kill Chainモデルとは？攻撃者の行動を可視化する

サイバー攻撃は、一連の段階的なプロセスを経て実行されます。この攻撃者の一連の行動をモデル化したフレームワークが「サイバーキルチェーン（Kill Chain）」です。一般的に、以下の7つのフェーズで構成されます。

偵察（Reconnaissance）：攻撃者が標的組織の情報を収集する。
武器化（Weaponization）：情報を基に、マルウェアなどの攻撃ツールを作成する。
配送（Delivery）：標的型メールなどで、マルウェアを標的に送り込む。
攻撃（Exploitation）：マルウェアがシステムの脆弱性を突いて実行される。
インストール（Installation）：マルウェアがシステムに常駐するためのバックドアなどを設置する。
遠隔操作（Command & Control）：バックドアを通じて、外部からシステムを遠隔操作する。
目的の実行（Actions on Objectives）：情報漏洩、データの破壊、ランサムウェアによる暗号化など、攻撃者の最終目的が実行される。

フォレンジック調査の証拠をこのKill Chainの各フェーズに当てはめることで、攻撃の全体像を体系的に理解し、今後の対策に活かすことができます。

各フェーズで収集すべき証拠データとは？

フォレンジック調査で収集・分析するデータは、Kill Chainの各フェーズの痕跡を明らかにするために活用されます。

偵察、配送フェーズ：ファイアウォールやプロキシサーバーのログ、メールサーバーのログなどを分析し、不審な通信や標的型メールを探します。
攻撃、インストールフェーズ：ディスクイメージから、マルウェア本体やOSのレジストリに書き込まれた自動実行設定などを調査します。メモリダンプからは、実行された攻撃コードの痕跡を発見できる場合があります。
遠隔操作フェーズ：メモリダンプのネットワーク接続情報やパケットキャプチャデータから、外部のC2サーバーとの不審な通信を特定します。
目的の実行フェーズ：ディスクイメージ内のファイルアクセスログやコマンド実行履歴を解析し、どのデータが窃取されたか、どのような破壊活動が行われたかを特定します。

このように、メモリダンプやディスクイメージから得られる多様なデータを組み合わせ、Kill Chainに沿って分析することで、断片的な痕跡が一連のストーリーとして繋がります。

フォレンジック調査の標準化と手順書作成のポイント

手順書に含めるべき必須項目

実用的で効果的なフォレンジック手順書を作成するためには、以下の項目を網羅することが推奨されます。

目的と適用範囲：手順書の目的、対象となるインシデント（不正アクセス、マルウェア感染など）や機器（サーバー、PCなど）を明記します。
対応体制と役割：インシデント発生時の指揮命令系統、各担当者（情報システム部、法務部など）の役割と連絡先を明確にします。
インシデントレベルの定義：インシデントの深刻度を判断する基準（例：Level 1～3）を定義し、レベルごとの初期対応方針を定めます。
初動対応の手順：インシデント覚知から証拠保全開始までの具体的なアクション（報告ルート、ネットワークからの隔離など）を時系列で記述します。
証拠保全の手順：メモリダンプ、ディスクイメージそれぞれの取得判断基準、具体的な取得手順、使用ツール、記録すべき項目（Chain of Custody）を詳細に記述します。
分析・報告の手順：保全したデータの分析方針、報告書のフォーマット、報告先などを定めます。
ツールと機材リスト：証拠保全や分析に使用するソフトウェア、ハードウェア（書き込み防止装置、外付けHDDなど）の一覧と保管場所を記載します。

クラウド環境におけるフォレンジックの課題と対策

近年、クラウド環境におけるフォレンジックは特有の難しさを伴います。物理サーバーに直接アクセスできないため、従来のディスクイメージ取得手法が使えないケースが多くあります。

対策として、平時からCSP（クラウドサービスプロバイダー）が提供するログ機能を最大限に活用し、必要なログを収集・保管しておくことが重要です。インシデント発生時には、CSPのサポートと連携し、スナップショット機能などを利用して仮想マシンのディスクイメージを取得する手順を確立しておく必要があります。専門性が高いため、有事の際に協力してくれる専門ベンダーを事前に見つけておくことも有効な対策です。

専門家・外部ベンダーへ依頼する際の判断基準

高度なフォレンジック調査をすべて自社で完結できるわけではありません。以下のようなケースでは、速やかに外部の専門家へ調査を依頼することを検討すべきです。

自社にフォレンジックの専門知識や経験を持つ担当者がいない。
ランサムウェアなど、高度で緊急性の高いインシデントに対応する必要がある。
訴訟や警察への被害届を視野に入れており、法的に通用する証拠と報告書が必要。
経営層や顧客など、第三者への説明責任を果たすために、信頼性の高い調査結果が求められる。

専門家に依頼することで、最新の脅威情報や高度な分析技術に基づいた、迅速かつ正確な調査が期待できます。誤った自社対応で証拠を失い被害が拡大するリスクを考えれば、結果的にコストを抑えることに繋がる場合も少なくありません。

まとめ

サイバーセキュリティインシデントは、すべての組織が「いつか必ず起こる」ものとして備えなければならない脅威です。インシデント発生時に、冷静かつ的確な対応ができるかどうかは、平時からの準備にかかっています。

本記事で解説したように、デジタルフォレンジック調査、特に初動である証拠保全のプロセスを「標準化」し、誰でも実行可能な「手順書」として整備しておくことは、組織のセキュリティレジリエンスを向上させる上で極めて重要です。揮発性の高いメモリダンプと、網羅的なディスクイメージの特性を理解し、的確に取得・保全する体制を構築してください。

今回の情報を基に、自社の環境に合わせた手順書を作成し、定期的な訓練を行うことが、未来のインシデント被害を最小限に食い止めるための最も確実な一歩となるでしょう。

この記事のまとめ

サイバーインシデントに備え、デジタルフォレンジックにおける証拠保全の標準化と手順書整備が不可欠です。
メモリダンプとディスクイメージの特性を理解し、インシデント発生時には揮発性の高いデータから優先的に取得しましょう。
Kill Chainモデルを用いて攻撃者の行動を分析し、各フェーズで必要な証拠を効率的に収集する体制を構築してください。
クラウド環境特有のフォレンジック課題に対応し、必要に応じて外部の専門ベンダーとの連携を検討することが重要です。
手順書の定期的な見直しと実践的な訓練を通じて、組織全体のインシデント対応能力を継続的に強化しましょう。

よくある質問（FAQ）

Q1: フォレンジック調査にはどれくらいの時間がかかりますか？
- A1: 調査期間は、対象機器の台数、ディスク容量、インシデントの複雑さによって大きく変動します。単純なマルウェア感染調査であれば数日で完了することもありますが、大規模な不正アクセスや情報漏洩事件の全容解明には数週間から数ヶ月を要する場合もあります。
Q2: 無料で使えるフォレンジックツールはありますか？
- A2: はい、あります。「FTK Imager Lite」はメモリダンプとディスクイメージの両方を取得できる非常に有名な無料ツールです。また、「Autopsy」はオープンソースの統合フォレンジック分析プラットフォームで、ディスクイメージの解析に広く利用されています。ただし、商用ツールと比較すると機能やサポートに制約があるため、用途に応じて使い分ける必要があります。
Q3: 証拠保全で失敗しないための最も重要なことは何ですか？
- A3: 最も重要なことは「原本の保全」です。分析や調査は必ずディスクイメージなどの複製に対して行い、元の証拠（原本ディスク）には一切の変更を加えないことです。これを徹底するために、書き込み防止装置（Write Blocker）の使用は不可欠です。また、すべての作業を正確に記録し、証拠の管理履歴（Chain of Custody）を維持することも同様に重要です。
Q4: 調査報告書にはどのような内容を記載すべきですか？
- A4: フォレンジック調査報告書には、一般的に「エグゼクティブサマリー（経営層向けの要約）」「調査の目的と範囲」「調査期間」「調査対象」「調査手法・使用ツール」「時系列でのインシデントの経緯」「発見事項（原因、被害範囲など）」「結論」「再発防止策の提言」といった項目を含めます。客観的な事実と、それに基づく分析・推測を明確に区別して記載することが重要です。

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com

初回公開日：2026年02月10日

記載されている内容は2026年02月10日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。また、記事に記載されている情報は自己責任でご活用いただき、本記事の内容に関する事項については、専門家等に相談するようにしてください。