17.3.13　データフォレンジクス

データフォレンジクスは、インシデントに関わるデータを識別、抽出、証拠性を明らかにする手段です。

これは、IT資産、電子メール、SharePoint、又はその他の電子データとして保持されているデータが対象となります。

データフォレンジクスは、通常はデータの所有者と協議して同意を得たうえで実行されます。データ所有者が同意しない場合、又は法的要件又はその他の要件によってデータ所有者の同意を求めることができない場合は、学長の承認を必要とします。

データフォレンジクスを実行しようとするインシデントの多くは、関連するデータとIT資産も含め、本質的に慎重に扱うべきものや機密性の高いものです。データフォレンジクス手順はデータフォレンジクス活動が適切に行われるようにすることを目的としています。

この手続きでは、適切な承認が行われ、関係者の特権が分離され、データへのアクセスはインシデントに関連するもののみに限定されることを要件とします。

リクエスト
データフォレンジクス調査リクエストフォームは、データの分析を指示された者（調査担当者）、又は警察が関与する場合は捜査機関に証拠データを提出する責任を負うものが作成しなければなりません。リクエストの詳細は以下のとおりです。

• フォレンジクスを実行する事由
• 調査対象のデータ
• データへのアクセスが必要な期間

承認
データフォレンジクスのリクエストフォームは、副学長、ディーン、事務局長、プロボスト、統括弁護士のいずれか１名の承認の後、データ所有者又は学長のいずれかによって承認されなければなりません。

検証
CIO又は委任された代理人は、リクエストを受け付け、適切な承認が与えられていることを確認します。彼らはその後、関連するデータを抽出するためにITの担当者を任命します。

抽出
ITディビジョンの調査担当者は、暗号化された専用のテンポラリーPCにデータを抽出し、CIO又は委任された代理人にそれを預けます。

アクセス
CIO又は委任された代理人は、テンポラリーPCと関連するアクセス資格情報を分析担当者に預けます。

削除
アクセス期間が終了すると、CIOはテンポラリーPCが返却され、抽出された全ててのデータが確実に消去されるよう徹底します。

報告
CIOは、データフォレンジクス活動の結果と抽出されたデータの削除日を最終報告書にまとめ、学長に提出します。

ファイリング
リクエストフォームは最終報告とともにIT内で文書管理されます。

ITセキュリティインシデント対応はここでは扱いませんが、代わりに17.3.12情報セキュリティインシデント対応で扱います。