園田さんによるフォレンジックに関する記事

■2.3 フォレンジック調査の実際と限界
フォレンジック調査では、削除されたファイルのデータを復元することもある。ファイルはファイルシステムという「どのファイルがハードディスクのどの場所にあるか」を情報として蓄える仕組みによって管理される。
ファイルを削除するとファイルシステムが管理する情報に削除フラグが立ち、データ本体にはアクセスできなくなる。しかし、データ本体を削除する処理が行われるわけではなく、専有していた領域が再利用されるまでは残る。こうした痕跡も含めて目的にかなう情報を探すのがハードディスクを対象とするフォレンジック調査である。
ハードディスク以外にもメモリやSSD（Solid State Drive）、DVDやブルーレイディスク、CDなどの記録媒体も調査対象となるが、ファイルシステムによる管理の有無、揮発性の高さ（注8）などによって情報の取得手法は変わってくる。近年はスマートフォンや携帯電話、ゲーム機やタブレット端末などの新たな形態の「コンピュータ」が増えてきているため、それぞれにデータを吸い出す方法をハード面からもソフト面からも用意し続ける必要があるが、ハードウェアの性能やソフトウェアの性能によって作業時間が制限されてしまうこともある。
取得したデータをベースにした調査解析分野も確立されてきている。例えば、Webフォレンジックと呼ばれる分野では、閲覧履歴や検索履歴などのデータベースやキャッシュデータなど、Webブラウザが保持している（していた）データを解析する。以前は人と人とが情報をやり取りするのは主に電子メールであったが、現在ではSNS、Twitterなどのショート（ミニ、マイクロ）ブログ、GmailなどのWebメールなど多岐にわたる。Webブラウザが保持するプリミティブなデータだけでそうした伝達方法に関する調査を行うのは非常に難しく、現在においてもまだ、さまざまな研究開発がなされている状況である。
フォレンジック調査には限界もある。暗号化されているデータやハードディスクの中身を読み取ることは容易ではない。どのような暗号も鍵となるデータの長さは有限であるので解読は不可能ではないが、調査に費やせる費用、人員、期間のなかで解読できるものはきわめて限られる。暗号の仕組み自体に弱さがあり、例えば同一のハードディスク内に鍵となるデータが記録されている場合などには、専用の解読ソフトウェアなどで解読できるが、そうでなければ鍵を設定した人間から聞き出すほかない。したがって、内密の調査では解読が難しくなる。

デジタルフォレンジックの調査と現状- 記事詳細｜Infoseekニュース