[授業内容⑤]デジタル・フォレンジックス

Photo by kat wilcox on Pexels.com

 科目名は「Digital Forensics」。日本ではデジタルフォレンジックス、もしくはデジタル鑑識と訳される。犯罪現場に残された、またはよくある家宅捜索などで押収された記憶媒体に残る磁気記録を分析し、法的効力を持つ証拠を調査する技術ということになる(企業内の不正行為が疑われるときに、嫌疑のある社員のコンピュータや携帯を調査するのもこの仕事)。証拠の保全から分析、証拠として法的文書にするところまでが仕事になる。

 近年では日本でも話題に上ることが少しずつ増えており、いわば少しずつ熱の入ってきている業界ということになる。

 講師はマレーシア華僑系のオーストラリア人准教授で、若い頃から豪州育ちとあって全部英語。サイバーセキュリティ修士を開設するために、QUT(クイーンズランド工科大)から招聘された、SCADAのセキュリティをテーマにしている40代のバリバリ働き盛りの先生だ。

 ご当人は優しく講義しているつもりのようなのだが、ITの素人にはとても難しい授業になっている。それも本来の12週コースではなく、6週間のインテンシブ(集中)コースだったからことも相まって、えらいことになった。

 まず、単語が「なんですか」状態になる。これはしばらくすると収まるのだが、次から次へとそれが続く。そして、何よりもバーチャルマシーンを使った実習になると、更に未経験者が打ちのめされる。

 講義はフォレンジクスの過程がどのような流れで進むか、そしてファイル作成やプログラム利用時に生成されるアーティファクトにどのようなものがあるかという話から始まり、ウインドウズ、Linux、Androidなど、どこから証拠を探すのかを学んでいく。順序は以下の通りだ。本来3−4の科目になりそうな内容を一科目に詰め込んでいるので、中身が非常に濃い。

  • Topic 1.1: Digital Forensic Process
  • Topic 1.2: Windows Forensic Artifacts
  • Topic 2.1: Linux Forensic Artifacts
  • Topic 2.2: Disk Forensic Artifacts
  • Topic 3.1: Network Forensic Techniques
  • Topic 3.2: Memory Forensic Techniques
  • Topic 4.1: Mobile Forensic Techniques
  • Topic 4.2: Timeline Analysis
  • Topic 5.1: Digital Investigations
  • Topic 5.2: Digital Forensic Readiness

 使用されたバーチャルマシーンは、フォレンジックス業界では有名なSANSが作ったSIFTワークステーションだった。LINUXを基本に、様々なデータマイニングツールが取り込まれた、ソフトの塊のようなプラットフォームで、これもまたバーチャルボックス上で機能するようになっている。この先生は産業界との結びつきが強く、企業でどのようなフォレンジック環境を使っているかを熟知しているので、学生にもそれについて「触った経験」を持たせようとしている。豪州の企業では、学位が業界と一致していないと就職できないのと同時に、学生時代にどんなソフトを使ったかも評価されることから、それに向けたコースデザインをしているのだ。

 講義は週2回5時間ずつで、毎回違うタイプのファイル(vmem/pcap/binなど)とそれに関するクイズが配布され、まずは理論部分のレクチャーを受けた上で、チュートリアルクラスで先生がやり方を見せていく、という方法が取られる。ライブ授業が5時間ぶっ続けで展開され、我々のような素人には、その授業のコマンドについていくのがやっとの状態が続くが、最後の方には少しはわかるようになってくる。それでもプラグインコマンド(リンクは知らない人が書いている用語解説です)などは多すぎてよくわからず、完全なコマンドは最後まであまりかけなかった。

 それでも、他の上級コースなど何もない独立した科目なので、色々な内容がてんこ盛りで、パワポは毎回90ページという殺人的なもの。その中で、ウインドウズとLINUXのアーティファクトの種類の解説から始まり、どこに証拠となりうるファイルが入っているのか、それをどうやって探すのかを解説される。ネットワークフォレンジックス、メモリフォレンジックスなど、近年発展の著しい分野についても解説されるので、しっかり勉強できれば、それはそれは幅広い基礎力がつく内容になってはいる。

パワポスライドなどの教材は両面印刷でもコピー紙2パックになった。

 採点体系は、①5モジュール計10コマの授業の後のクイズが合計20%(各5問で5点だが、1回分は満点が2点なので、一問0.4点計算)。②あるケースについて情報を集める過程を説明するビデオ(ここではこのコマンドを使って、こうしてデータを見つけて、というノリ)+わかりやすくデジタル鑑識の過程を説明するビデオが15点。③手がかりファイルを3つ渡されクイズに答える+その過程を文章で説明するレポートが35点。④ 最終試験(3課題10問についてビデオで回答)が30点というもので、合計100点。

 成績は76.975点、評価はD、GPAは6だったが、この科目の最大の収穫は、将来につながる具体的な仕事の方向性を示してくれたことだったように思う。その意味では、この学校に立ち寄った意味はあったように感じている。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中

WordPress.com Blog.

ページ先頭へ ↑

%d人のブロガーが「いいね」をつけました。