デジタル・フォレンジックのデータ保全に準拠したシンプルな機能
“Simple SEIZURE TOOL for Forensic” を使うと、これら多くの保全機能すべてがウィザードだけで完結するのです。
とにかく簡単な操作で証拠を保全したい。
-
1.証拠物のパソコンに製品を
接続、電源を入れる -
2.製品でパソコンが起動
-
3.データやイメージを
保全するだけ
パソコンを分解せず簡単に証拠を保全できます。
本製品は、起動後のウィザードに従い進むだけでパソコンの内蔵ハードディスクやSSD、特定パーティションから“証拠イメージを作成”することができます。また動作中のパソコン上で起動できるため、タブレットパソコンでも簡単に保全が行えます。
さらに特定のファイル、フォルダを対象とした“ライブ保全”機能を搭載しており、高いスキルを必要とする“マルウェア解析”や“メモリフォレンジック”が簡単な操作で可能になります。
BIOS、64bit UEFI、32bit UEFIモデルの
パソコンやタブレットもUSBブートで
保全することができます
※保全対象機器に応じて、BIOS用、64bit UEFI用
32bit UEFI用を準備する必要があります。
1つの製品で、さまざまな機器を保全したい。
[すべて日本語対応]
3つのブート機能であらゆる
機器の保全ができます。
本製品の最大の特徴は、“USBブート”でコンピュータを起動させ、原本に影響せずデータを保全できることです。
もしUSBブートに対応していない機器の場合でも、起動ディスクを用いた“CDブート”で対応できます。
さらに必要措置において動作中のパソコン上で保全しなければならない時など“OS起動モード”も備えており、これら3つの起動方法により状況に応じた保全方法を選択できます。
※USBブート、CDブート利用時は原本に影響しませんが、
OS起動モードを利用すると原本に変更が生じます。
入力は簡単に済ませ、証拠は確実に管理したい。
ケースを作成するだけで
誰でも保全できます。
本製品は、僅かな情報を入力するだけで誰でも簡単に利用できます。起動後に“ケース名”、“担当者名”、“保全日時”など証拠保全にあたり必要な情報を入力するだけでケースが簡単に作成できます。
この作成画面では、パソコンの“BIOS日時の確認と補正”ができ、保全場所、立会人、証拠品の状態といった“ケースに関するコメント”を入力することもできます。
さらに“ケース保護機能”により既に保全されたケースを検知すると起動を停止し、証拠の上書きや混在を防止します。
ハードディスクを壊さないように取り扱いたい。
トラブルを事前に察知でき
安心して保全できます。
本製品は、保全対象のハードディスクのコンディションを事前に確認することができます。
“S.M.A.R.T.診断機能”を実行すると診断結果が表示され、保全対象となるハードディスクが“保全作業に適したコンディションか否か”を事前に確認することができます。また“保全前、保全後のS.M.A.R.T.情報をログに自動記録”するためコンディションの変化も確認できます。
さらに高性能な“不良セクタ検出機能”を備えており、不良セクタを検知すると確認画面で保全の継続について注意も促します。
※eMMCやNVMeなどのストレージの場合、S.M.A.R.T.情報を
正常に取得できない場合があります。
押収したパソコンの仕様を素早く調べたい。
ハードウェア情報を
自動で取得できます。
本製品は、パソコンの仕様を自動で取得し記録することができます。“ハードウェア情報収集機能”を実行するだけで対象となるパソコンの詳細な仕様を自動で取得、解析において重要な手掛かりになるハードウェア情報を“ワンクリックで収集”することができます。 取得できるハードウェア情報は以下のとおりです。
※該当のハードウェアドライバが適合した項目の場合に限ります。
- ディスクタイプ
- ディスクモデル
- ディスクシリアル
- ディスクサイズ
- ディスク LBA
- PCメモリサイズ
- PCメーカー
- PCモデル
- PCシリアル
- プロセッサ
- プロセッサメーカー
- プロセッサスピード
- BIOSメーカー
- BIOSバージョン
- BIOS Date
- ネットワークアダプタ
- ネットワークタイプ
- Macアドレス
保全後の解析は所有するツールを利用したい。
さまざまなフォレンジック
ツールに対応しています。
本製品は、“EnCase”、“FTK”といったさまざまなフォレンジックツールで利用できる“証拠イメージを作成”することができます。保全時にお手持ちのツールに合わせ“E01”や“.dd”などの形式が選択でき、同一性を証明できるよう“ハッシュ値 ( MD5, SHA256 ) を生成”することもできます。
また保全時は“サイズを指定して分割”したり、優れた“不良セクタスキップ機能”を併用したりすることもできます。
証拠が多くて複製が追いつかず困っています。
[ケース情報やログだけを本体に記録]
パソコンをデュプリケーター
として利用できます。
本製品は、パソコンをフォレンジック用デュプリケーターに変身させることができます。“ディスク複製機能”を実行すると、パソコンのポート(PATA, eSATA, SCSI, SAS, USB, IEEE1394など)に接続されたハードディスク同士を“物理コピー”することができ、複製に関する“ログを本製品に記録”できます。
また複製先に抹消されたハードディスクを接続しないとコピーを開始できない“誤書込み防止機能”も備えています。
媒体を取り外した保全ができず困っています。
ドライバを使った証拠保全ができます。
本製品は、ブート後にドライバを簡単に組み込む機能と、ブート後にドライバをインストールする機能を備えています。UEFIモデルのパソコンの場合、マザーボードの仕様に応じて必要なドライバを組み込んでおくことで、"マザーボードに直接実装された eMMC、NVMe"など、従来のハードディスクのように取り外しができない半導体ストレージでも簡単に保全することが可能になります。
また“RAIDコントローラ”で複数のハードディスクが存在しても“RAID構成のまま保全”できるため、接続されたすべてのハードディスクを複製する必要もありません。
※ドライバに関しては、お客様で収集する必要があります。
簡単な操作で確実に証拠データを管理したい。
-
1.解析用パソコンに製品を接続すると
SSTマネージャーが自動起動 -
2.ワンタッチボタンを押す
-
3.データやイメージを
自動でコピー
ワンタッチで証拠ファイルを保存できます。
本製品には、“SSTマネージャー”が付属しています。このソフトをあらかじめ管理用パソコンにインストールしておくと、本製品本体の“ワンタッチボタン”で証拠データを簡単にコピーすることができます。またコピー中は、“ハッシュベリファイ機能”によるデータ検証も行えます。
コピー後は、“工場出荷時設定機能”でデータを抹消後、繰り返し利用でき、これら操作は“管理者パスワード機能”で保護できます。
※SSTマネージャーは、BIOS用のみに付属します。
保全後マネージャーで保全データをコピーする
※SSTマネージャーは解析用のWindowsパソコンに
インストールしておくことで自動起動します。
証拠保全に関わった人物や作業を確認したい。
自動ログ機能で保全作業を
可視化できます。
本製品は、保全開始から終了までの一連を記録として残します。保全中の動作とすべての操作履歴をログとして自動記録するため、保全担当者がどのような手順で保全したのかを“第三者が確認”することができます。 保存されるログの内容は以下のとおりです。
- ケース名
- 保全担当者
- 保全日時
- コメント
- S.M.A.R.T情報
- ハードウェア情報
- ハッシュ値
- 不良セクタ数
- 保全時の設定値
- 保全時の操作手順
- 保全中の状態
- 保全に要した時間