みなさんはじめまして、ネットエージェント株式会社の松本隆と申します。私はフォレンジックエバンジェリストという肩書きで活動しておりまして、デジタル・フォレンジック技術の研究と啓発活動が主な業務となっています。

今、あなたがこのブログを読んでいる環境は何であろうか。会社のデスクもしくは自宅に据え付けられたPCかもしれないし、もしかしたら移動途中の電車から携帯端末でアクセスしているかもしれない。ブラウザの設定にもよるが、基本的には一旦ハードディスクのテンポラリ（一時作業）領域にキャッシュされ、キャッシュファイルがコンピュータのメモリに読み込まれ画面に表示される。
このキャッシュファイルはユーザによる明示的な操作や、ブラウザのキャッシュ管理ポリシーに従って、決められた手続きに従ってファイルシステムを操作することにより、削除状態となる。
ファイルシステムとは「記憶装置に記録されているデータの管理方式」である。おおまかに言えば、ファイルシステムに管理されるいくつかのデータブロックの集合がファイルである。分かりにくいと思われる方は、手近な本を手にとってもらえないだろうか。
あなたが手にした本は立派な表紙とカバーで装飾され、タイトルと作者が分かりやすく記載されていることだろう。裏表紙やオビには本の概要が書かれており、一目でこれがどのような内容の本かを判断することができる。
中をめくるとページ番号が振られており、目次ページには章ごとのタイトルやページ番号が振られている。試しにその番号までページを進めてみると、目次に記載されていた通りの内容を発見することができるだろう。
先ほどのファイルとファイルシステムを本で例えるとすれば、本全体がファイルシステムであり、ページの集合である章がファイルであるといえる。本は表紙や目次などの索引と、ページを意味のある順番に並べることによってページを管理している。言い換えれば、各ページは本によって適切に並べられ管理されることによって、はじめて読み手にとって意味のあるデータのかたまりになるのだ。

ファイルシステムとフォレンジックの話 - セキュリティごった煮ブログ｜ネットエージェント

あなたが無事に目的のデータを確保できたとして、ひとつだけ気をつけて欲しい点がある。フォレンジック調査で最も重要なのは、ファイルやファイルシステムをハッキングして調査の手がかりを得ることではなく、いかに証拠を汚染せずに取り扱うかであるということだ。
図書館で目的の本を発見できたとしても、調査をするあなた自身が誤ってページを破ってしまったり、別の本と取り違えてしまったり、ラボに持ち帰る手続きの中で、最終貸出者と最終貸出日付欄を上書きしてしまっては目も当てられない。
電磁的証拠の適切な取り扱いに関しては、特定非営利活動法人デジタル・フォレンジック研究会の「証拠保全ガイドライン　第１版」が非常に参考になる。
このガイドラインは海外の関連ガイドラインを参考に、わが国の独自性などを反映させた内容になっており、賛否はあるだろうが現場で証拠を取り扱う際に準備すべきもの、留意すべきポイントなどの一つの指標になるだろう。

ファイルシステムとフォレンジックの話 - セキュリティごった煮ブログ｜ネットエージェント