【2025年最新】プロが教えるHDDやサーバの正しい証拠保全

企業や組織で内部不正や情報漏えいが発生した際、問題や原因の特定や法的対応を進めるための「調査」が必須となります。

デジタルフォレンジックの世界においては、「調査」のスタートラインが最重要になります。それが「証拠保全」です。トラブルが起きた後、適切な行動をしないと以下の新たな問題が発生する可能性があります。

• 不正の発覚を恐れデータを改ざん・削除
• 不適切な初動対応によって誤って証拠を喪失

これらの対応により、せっかくの証拠データを失い、調査や法的対応が遅れ、場合によっては被害者なのに不利な立場になり得ます。

そのためデジタルフォレンジック技術には「証拠保全」の能力も問われます。正しく証拠を保全できれば、スピーディに、より正確に、もっと言えば事態を有利に進めることができます。本記事では、デジタルフォレンジック調査の観点からHDDやサーバの正しい証拠保全を解説します。

 

証拠保全が必要な理由と、初動でやってはいけないこと

デジタルフォレンジック調査で明らかとなるケースは多岐に渡ります。

• 意図的なメール削除
• 顧客情報漏えい形跡の調査
• Webサイト閲覧履歴調査法
• ファイル削除やゴミ箱の完全消去の調査
• 隠ぺい・捏造ファイル調査
• PC起動やソフト使用履歴の調査

これらの調査を実施するにあたり、共通で必須となるのが調査前の「証拠保全」です。厳密に言えば証拠保全も調査に含まれます。

 

---

なぜ証拠保全が重要なのか

内部不正や情報漏えい、サイバー攻撃が発生した際、言うまでもなく客観的な事実や被害を証明する必要があります。具体的には、

• 何が起きたのか
• 誰が、いつ、どこから、何を、どの端末でしたのか
• 法的に主張できる内容か

これらを明確にする必要があります。ニュースや刑事ドラマで、事件発生直後の映像を思い浮かべてみましょう。警察の鑑識が現場に残された指紋や血痕を採取したり、写真撮影をしたり、目撃情報の聞き込みをしたり・・・。それらの証拠は時間が経過するほど消失や風化のリスクがあります。そのため、「初動」が重要となります。デジタルフォレンジック調査もまた、同じことが言えます。

---

初動でやってはいけないこと

トラブルやインシデント発生時、焦燥や不安から誤った行動や操作をし、調査不能の事態に陥ったり、証拠データを喪失してしまったりするケースが多くあります。特に以下の行動は絶対に厳禁です。

• 電源を切る・再起動する：保存されていないデータや、メモリ上の方法が消失します
• ウイルス駆除ソフトを実行する：特にサイバー攻撃の際、攻撃の痕跡ごと削除してしまい、原因の追跡が不可能になります
• ログ削除や不要ファイルの整理：意図せず証拠ファイルを消してしまったり、上書き保存してしまったりします
• パソコンやサーバを操作する：アクセス時刻や更新時刻が変更されてしまい、正確な調査ができなくなります

不要不急な行動や操作は、意図せず大きなダメージをみずから受けることになります。トラブルやインシデント発生時は、特に初動時はある意味「何もしない」が最善と言えます。

 

HDDの正しい証拠保全手順

HDDの正しい証拠保全を実行する場合の手順や注意点は多くあります。順を追って確認しましょう。

 

---

1.まずは状態を維持する

該当の端末には触れず、画面やケーブル接続、その他気になる点を写真で撮影しましょう。できれば、写真に撮影日を表示するとベストです。「その時のまま」が重要です。

---

2.操作停止・関係者への周知

関係者が勝手に操作しないよう、対象機器のタッチや使用禁止を周知します。意外に失念しやすい項目です。情報共有が徹底されておらず、何も知らない別のスタッフが悪意なく操作してしまった・・・というケースは多々あります。また、必要に応じてインターネットや社内LANからの遮断も必要になります。

---

3.HDD取り外し時の注意

パソコンなどからHDDを取り外す際は、以下の情報を控えておく必要があります。

• 型番、シリアル番号
• 取り外し日時
• 保管担当者、保管場所

無理にHDDを取り外さないことも重要です。適切な取り外しや保管ができない場合、「本当にその端末に組み込まれていたHDDか？」といらぬ嫌疑をかけられます。ITスキルや情報システム部門がない場合、あえてHDDを取り外さないことも検討する必要があります。

---

4.イメージ取得作業

デジタルフォレンジック調査において、最重要な工程です。イメージ取得の可能なツールを使用し、複製を作成します。実行する場合は、以下の情報を記録するようにしましょう。

• イメージ取得日時
• 使用したツール名
• 実行担当者

ただし、この作業も、正しい知識やノウハウがなければ実行するべきではありません。イメージ取得には以下のリスクがあります。

• 物理的な故障：イメージ取得は長時間を要し、メディアに常時アクセスします。かなりの負荷が発生するため、証拠品が物理的に破壊され、二度と調査ができなくなります。
• イメージ取得失敗：ツールのエラーや不良セクタ（読み取り不良）などの発生により、イメージの取得に失敗するケースがあります。イメージ取得後のチェック（検証）も重要です
• 上書き保存：イメージ取得の保存先をあろうことか別の調査機器に設定し、重要なデータを上書き保存してしまう・・・こう言ったヒューマンエラーも起こり得ます。

最悪の場合、証拠データや残存データをすべて損失してしまうリスクがあります。

 

サーバ環境の証拠保全ポイント

サーバのデジタルフォレンジック調査は、機種や設定にもよりますがイベントログやアクセスログがクライアントパソコンの調査と比べ豊富に残っているケースがあります。一方で、証拠保全の難易度は格段に高くなります。

 

---

RAID技術（ハードディスク複数台搭載）で運用されている

いわゆるラックサーバやNASはHDDが複数台搭載でき、「RAID」を構築しているケースが大半です。RAIDとは、複数台のHDDを組み合わせ、1台のトライブとして扱う技術です。設定によりますが冗長性の向上（故障対策）、大容量化、高速化などが実現できます。

その反面、証拠保全を実行する場合、以下のデメリットがあります。

• 大容量のためイメージの保存場所が確保できない、作業に膨大な時間を要する
• 作業に膨大な時間を要する
• 1台1台をイメージ取得しても、特殊な設定のため1台ずつ証拠データを集めることができない

また、HDDの1台に故障が発生した場合、運用や稼働には問題ありませんが、証拠データに影響が発生する可能性があります。リビルド（再構築）を実施した場合も同様です。

---

稼働をストップできない

証拠保全を行う場合、「何もしない」のが鉄則です。クライアントパソコンの場合は該当機の使用をストップすれば影響は大きくないかもしれませんが、サーバの場合はどうでしょうか。数十人、数百人のスタッフがアクセスし、業務によっては24時間365日稼働しなければならない・・・そういったサーバも多々あります。

そして稼働させれば稼働させるほど、イベントログやアクセスログなどが上書きされ、重要な証拠データが喪失してしまう可能性があります。かといって、サーバの稼働をストップすると日常業務に支障が発生してしまいます。

---

サーバの用途や運用方法を確認

サーバと一言で言っても、ファイルサーバやWebサーバ、アプリケーションサーバ、仮想環境（Hyper-VやVWware）など、幅広い用途があります。OSだけでもWindowsサーバ、Linux系など、確認する要素が多くあります。調査内容はもちろん、用途によっては証拠保全の方法も大きく変わってくる可能性があります。

意外に抜けやすいポイントです。「サーバを調査したが証拠データがなかった」という事例で、「実は仮想環境の中に証拠データがあった」「自社内にない社外のサーバで運用されていた」という事態が発生しかねません。

 

自社でできることと、プロに任せるべき領域

正しい証拠保全のためには、やってはいけないこと、守るべき手順、チェックするべき項目があります。つまり正しい知識やノウハウ、機材やツールが必須になります。自社や自組織で証拠保全が難しい場合、プロに依頼することも検討しましょう。

 

---

自社でできること

初動の「何もしない」を徹底するだけでも大きく効果があります。日時や行動を記録できればなおOKです。

• 端末やサーバの利用停止
• 写真撮影や状況の記録
• データやログのバックアップ
• 関係者への情報共有や注意喚起

---

プロに任せるべき領域

• イメージ取得作業
• サーバの証拠保全
• 削除されたデータやログの解析・調査
• 法的に認められる報告書の作成（レポートの作成）

自社内でイメージ取得作業をする場合、フリーのツールでもイメージ取得作業そのものは可能です。しかし誤った作業で「証拠を破壊」「イメージ取得に失敗」など起こり得ます。取り返しがつかなくなる前に、プロに依頼するべきです。

---

調査の依頼の判断基準

特に、以下の事例に該当する場合、早めにデジタルフォレンジックの専門家に相談する必要があります。

• 金銭的な被害が想定される
• 内部不正の嫌疑がある
• 訴訟や警察相談の可能性がある
• 会社としての社会的な責任や説明責任が必要となる

 

まとめ

内部不正や情報漏えい、サイバー攻撃による被害は年々増加しております。その初期対応としての「証拠保全」は強力な証拠能力を持ちます。証拠保全には以下のメリットがあります。

• トラブルやインシデントが発生した時点の情報を記録している
• 改ざんや消去される前の状態を保持できる
• サーバなどの稼働がストップできない／特殊機器も証拠保全ができるケースがある

ただし、正しい証拠保全を実行しなければ、証拠を永遠に失ってしまうリスクがあります。

• 端末やデータを無闇に操作する
• 機器の特性やトラブルの状況をきちんと把握しないまま行動する
• 誤った操作、誤ったツールでイメージ取得作業を実施する

つまり、「操作よりもまず相談」が鉄則です。状況把握を行い、目的や方向性を定める必要があります。対応する人員やスタッフも厳選する必要があるでしょう。ITスキルだけでなく、法的対応や通常業務への影響も調整する必要があります。繰り返しますが、「証拠保全」において誤った行動は取り返しがつきません。そんな時はデジタルフォレンジック業者に相談をおすすめします。

デジタルフォレンジック24は、日本国内最高峰のデジタルフォレンジック技術はもちろん、裁判にて使用可能な報告書のご提出、証拠保全のフォローやスケジュールのご提案まで可能です。また、調査後の保守セキュリティーサービスもご提案しております。ぜひご相談ください。

 

選ぶなら安心と信頼の技術

一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。

デジタルフォレンジック24は

特急データ復旧ウィンゲットが運営しています

 

オフィスは主要都市に5拠点
全国に受付窓口が185箇所あり

弊社は北海道（札幌)、東京都(秋葉原)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に5店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。

店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。

店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。

全国の受付窓口

---