データ復旧・デジタルフォレンジック用語集
データ復旧とデジタルフォレンジックに関する専門用語を分かりやすく解説します
HDD(ハードディスクドライブ)
読み方: エイチディーディー
概要
磁気ディスクを使用してデータを記録する記憶装置。回転する磁気ディスクに磁気ヘッドでデータを読み書きする仕組み。
詳細説明
パソコンやサーバーの主要な記憶装置として広く使用されています。物理的な故障が発生しやすく、ヘッドクラッシュやモーター故障などの障害が起こることがあります。
SSD(ソリッドステートドライブ)
読み方: エスエスディー
概要
フラッシュメモリを使用した記憶装置。可動部品がないため高速で静音性に優れる。
詳細説明
NANDフラッシュメモリとコントローラーで構成されており、HDDと比較して高速アクセスが可能です。ただし、コントローラー故障やNANDチップの損傷により復旧が困難になる場合があります。
RAID(レイド)
読み方: レイド
概要
Redundant Array of Independent Disksの略。複数のディスクを組み合わせて冗長性や性能を向上させる技術。
詳細説明
RAID0(ストライピング)、RAID1(ミラーリング)、RAID5(分散パリティ)など複数の構成があります。複数ディスクの同時故障により復旧が複雑になることがあります。
NAS(ナス)
読み方: ナス
概要
Network Attached Storageの略。ネットワークに直接接続される記憶装置。
詳細説明
複数のユーザーがネットワーク経由でファイルを共有できます。内部的にRAID構成を採用していることが多く、システム障害時は専門的な復旧技術が必要です。
クリーンルーム
読み方: クリーンルーム
概要
空気中の微粒子を極限まで除去した清浄な作業環境。HDDの開封作業に必要。
詳細説明
HDDの内部は非常にデリケートで、わずかなホコリでも致命的な損傷を与えます。ISO規格に準拠したクリーンルームでの作業が復旧成功の鍵となります。
ヘッドクラッシュ
読み方: ヘッドクラッシュ
概要
HDDの磁気ヘッドがディスク表面に接触して損傷する物理障害。
詳細説明
衝撃や経年劣化により発生し、「カチカチ」という異音を伴うことが多いです。ヘッド交換などの高度な技術による復旧が必要になります。
論理障害
読み方: ろんりしょうがい
概要
ハードウェアに問題はないが、ファイルシステムやデータの論理的な破損により発生する障害。
詳細説明
誤削除、フォーマット、ファイルシステムの破損などが該当します。物理障害と比較して復旧率が高く、短期間での復旧が可能な場合が多いです。
物理障害
読み方: ぶつりしょうがい
概要
ハードウェア自体の故障や損傷により発生する障害。
詳細説明
ヘッド故障、モーター故障、基板損傷、水没などが該当します。クリーンルームでの部品交換など高度な技術が必要で、復旧期間も長くなります。
ファイルシステム
読み方: ファイルシステム
概要
ストレージ上でファイルやディレクトリを管理する仕組み。
詳細説明
NTFS、FAT32、exFAT、HFS+、APFSなど様々な形式があります。ファイルシステムの破損は論理障害の主要な原因となります。
セクタ
読み方: セクタ
概要
ディスクの最小記録単位。通常512バイトまたは4096バイト。
詳細説明
バッドセクタ(不良セクタ)が発生すると、そのセクタのデータが読み取れなくなります。多数のバッドセクタは物理障害の兆候です。
バッドセクタ(Bad Sector)
読み方: バッドセクタ
概要
記録面の物理的損傷により読み書きできなくなったディスクの最小単位。
詳細説明
マッピング回避で対応します。多数のバッドセクタが発生すると、ディスクの信頼性が大幅に低下し、データ復旧が困難になる場合があります。
LBA(論理ブロックアドレッシング)
読み方: エルビーエー
概要
Logical Block Addressingの略。ディスクのセクタを連続番号で管理する論理的なアドレッシング方式。
詳細説明
従来のCHS(シリンダ・ヘッド・セクタ)方式に代わる現代的なアドレッシング方法で、大容量ディスクの管理を効率化します。
ジャーナリング(Journaling)
読み方: ジャーナリング
概要
ファイルシステムの整合性を保つために変更履歴をログ(ジャーナル)に記録する技術。
詳細説明
システムクラッシュ時でもファイルシステムの破損を最小限に抑え、高速な復旧を可能にします。NTFS、ext3/4、HFS+などで採用されています。
イメージング
読み方: いめーじんぐ
概要
ストレージデバイスの内容をビット単位で複製する技術
詳細説明
元のディスクを保護しながら復旧作業を行うための重要な手順です。専用機器を使用してセクタレベルでのコピーを作成します。
フォレンジック複製
読み方: ふぉれんじっくふくせい
概要
証拠保全のための厳密なデータ複製
詳細説明
ビット単位での複製で、ハッシュ値による整合性検証を行います
ロジカル障害(Logical Failure)
読み方: ロジカルしょうがい
概要
ファイルシステムやディレクトリ構造の破損による論理的なデータ読取不能状態。
詳細説明
ハードウェアは正常だが、ソフトウェア的な問題でデータにアクセスできない状態です。比較的復旧しやすい障害タイプです。
フィジカル障害(Physical Damage)
読み方: フィジカルしょうがい
概要
ヘッドクラッシュや基板故障など、ディスク装置そのものの物理的な損傷。
詳細説明
ハードウェアの物理的な故障により発生する障害で、クリーンルームでの部品交換など高度な技術が必要です。
カービング(File Carving)
読み方: カービング
概要
ファイルシステム情報が失われた領域からファイルヘッダ/フッタを探し復元する手法。
詳細説明
ファイルの特徴的なバイナリパターンを検索して、削除されたファイルを復元します。JPEGやPDFなど特定のファイル形式で効果的です。
MFT(マスターファイルテーブル)
読み方: エムエフティー
概要
Master File Tableの略。NTFSファイルシステムの管理テーブル。
詳細説明
ファイル構造や属性情報を格納する重要なデータベースです。MFTの破損はNTFSボリューム全体のアクセス不能を引き起こします。
パーティションテーブル(Partition Table)
読み方: パーティションテーブル
概要
ディスク上のパーティション配置情報を管理する構造体。
詳細説明
MBRやGPTなどの形式があり、ディスクの論理的な分割情報を保存します。破損するとパーティション全体にアクセスできなくなります。
SMART
読み方: スマート
概要
Self-Monitoring, Analysis and Reporting Technologyの略。HDD/SSDの自己診断機能。
詳細説明
統計から故障予兆を検知しアラートを上げる機能です。温度、エラー率、使用時間などの情報を監視し、故障の早期発見に役立ちます。
ファームウェア障害(Firmware Failure)
読み方: ファームウェアしょうがい
概要
ディスク制御ソフトの異常により認識や動作ができなくなる故障。
詳細説明
ディスク内蔵のファームウェアが破損すると、ディスク自体が認識されなくなります。専用機器による修復が必要な高難度障害です。
ブロックサイズ(Block Size)
読み方: ブロックサイズ
概要
ファイルシステムでデータを扱う最小単位のサイズ。クラスタサイズとも呼ばれる。
詳細説明
通常4KB~64KBで設定され、ファイルサイズに関わらずこの単位でディスク領域が割り当てられます。設定により性能と容量効率が変わります。
チェックサム(Checksum)
読み方: はっしゅち
概要
データの整合性を確認するための固有値
詳細説明
変更の有無を確認するデジタル指紋として機能します。証拠データの整合性を証明するために不可欠な技術です。
スナップショット(Snapshot)
読み方: スナップショット
概要
特定時点のファイルシステム状態を保存する技術。復旧時に利用可能。
詳細説明
システム障害時に過去の正常な状態に戻すことができます。VMwareやZFSなどで実装されており、バックアップ戦略の重要な要素です。
ホットスペア(Hot Spare)
読み方: ホットスペア
概要
RAID構成で故障ドライブ交換時に自動的に代替参加する予備ドライブ。
詳細説明
システムを停止することなく自動的に故障ドライブと交換され、データの冗長性を維持します。高可用性システムで重要な機能です。
コントローラ(Controller)
読み方: コントローラ
概要
ディスク装置内の入出力制御を行う装置または回路。
詳細説明
故障すると全ドライブが認識されなくなります。RAIDコントローラの場合、設定情報の復旧も必要になり、復旧作業が複雑化します。
セクタアライメント(Sector Alignment)
読み方: セクタアライメント
概要
OSとストレージ間でセクタ境界を揃え、性能劣化を防ぐ調整設定。
詳細説明
特にSSDで重要で、不適切なアライメントは性能低下や寿命短縮を引き起こします。4Kセクタディスクでは特に注意が必要です。
ニューラルリカバリ(Neural Recovery)
読み方: ニューラルリカバリ
概要
AI/機械学習を用いてファイル構造や欠損部分を推定し復元精度を高める手法。
詳細説明
従来の手法では復旧困難なケースでも、AIの学習能力を活用してデータパターンを推定し、復旧成功率を向上させる最新技術です。
デジタルフォレンジック
読み方: デジタルフォレンジック
概要
デジタル機器から法的証拠となるデータを科学的手法で収集・解析・保全する技術。
詳細説明
不正調査、サイバー犯罪捜査、法的紛争などで活用されます。証拠能力を保持するため、厳格な手順と文書化が求められます。
フォレンジックイメージ(Forensic Image)
読み方: フォレンジックイメージ
概要
証拠保全のため、データを改ざんなしに丸ごとコピーしたディスクイメージ。
詳細説明
ビット単位での完全な複製で、ハッシュ値による整合性検証を行います。法的証拠として使用するための厳格な手順で作成されます。
ハッシュ値
読み方: はっしゅち
概要
データの整合性を確認するための固有値
詳細説明
変更の有無を確認するデジタル指紋として機能します。証拠データの整合性を証明するために不可欠な技術です。
チェーン・オブ・カストディ(Chain of Custody)
読み方: チェーン・オブ・カストディ
概要
証拠として扱うデジタルデータが誰の管理下にあったかを記録する履歴管理。
詳細説明
証拠の信頼性を保証するため、取り扱い者、日時、場所、目的などを詳細に記録します。法的証拠能力の維持に必須です。
タイムライン解析(Timeline Analysis)
読み方: タイムライン かいせき
概要
ファイル作成・修正・アクセス日時を時系列で整理し、行動履歴を追跡。
詳細説明
ファイルの作成・更新・アクセス時刻、ログエントリなどを統合して、事件の全体像を明らかにします。
メタデータ(Metadata)
読み方: メタデータ
概要
ファイルに付帯する作成日時や作成者情報などの付加情報。
詳細説明
ファイルの内容以外の情報で、証拠の信頼性や事件の経緯解明に重要な役割を果たします。
データエントロピー(Data Entropy)
読み方: データエントロピー
概要
ファイルやブロックのランダム性を数値化したもの。暗号化や圧縮の検出に利用。
詳細説明
高いエントロピー値は暗号化されたデータや圧縮データを示唆し、隠蔽されたファイルの発見につながります。
スラック空間(Slack Space)
読み方: スラック 空間
概要
ファイルが使用しないディスク領域。削除ファイルの痕跡が残ることがある。
詳細説明
完全に削除されたと思われるデータでも、スラック領域に痕跡が残っている場合があり、重要な証拠発見につながることがあります。
スラック領域
読み方: すらっくりょういき
概要
ファイルが使用していない余剰領域
詳細説明
削除されたと思われるデータでも、スラック領域に痕跡が残っている場合があり、データ復旧の重要な手がかりとなります。
ファイルアーティファクト(File Artifact)
読み方: ファイルアーティファクト
概要
OSやアプリケーションが生成するログや一時ファイルなど、証拠となるデータ。
詳細説明
ユーザーの行動を再現するための重要な手がかりとなります。削除されたファイルの復元や、隠蔽された活動の発見に活用されます。
レジストリ解析(Registry Analysis)
読み方: レジストリ かいせき
概要
Windowsレジストリの構造解析。インストール履歴やUSB接続履歴などを抽出。
詳細説明
システム設定、アプリケーション履歴、ユーザー行動の痕跡を詳細に調査できます。証拠収集において重要な情報源です。
メモリダンプ(Memory Dump)
読み方: メモリダンプ
概要
実行中のシステムRAMの内容を丸ごとキャプチャしたデータ。
詳細説明
プロセス痕跡を調査できます。マルウェア解析や実行中のプログラムの動作解析に使用され、揮発性データの保全に重要です。
エンドポイントフォレンジック(Endpoint Forensics)
読み方: エンドポイントフォレンジック
概要
PCやモバイル端末などエンドポイント機器からデータ収集・解析を行う調査手法。
詳細説明
個人端末や業務端末から証拠を収集し、ユーザーの行動や不正アクセスの痕跡を調査します。
クラウドフォレンジック(Cloud Forensics)
読み方: クラウドフォレンジック
概要
クラウドストレージやSaaS環境からログやデータを収集・解析する技術・方法論。
詳細説明
クラウドサービスの特性を理解し、分散されたデータやログを効率的に収集・解析する専門技術が必要です。
タイムスタンプフォレンジック(Timestamp Forensics)
読み方: タイムスタンプフォレンジック
概要
ファイルシステムやログのタイムスタンプ不整合を解析し、改ざんや操作履歴を推定。
詳細説明
ファイルの作成・修正・アクセス時刻の矛盾を分析し、データの改ざんや意図的な操作を検出します。
メモリフォレンジック(Memory Forensics)
読み方: メモリフォレンジック
概要
RAMに残るプロセス情報やネットワークセッション情報を解析して、攻撃痕跡やマルウェアの動作を調査。
詳細説明
揮発性メモリから実行中のプロセス、ネットワーク接続、暗号化キーなどの重要な情報を抽出し、サイバー攻撃の全容を解明します。
eディスカバリー
読み方: イーディスカバリー
概要
訴訟において電子的に保存された情報を収集・処理・提出する手続き。
詳細説明
米国の民事訴訟で確立された概念で、日本でも企業の法的リスク管理において重要性が高まっています。
リーガルホールド
読み方: リーガルホールド
概要
訴訟の可能性がある場合に、関連データの削除や変更を禁止する措置。
詳細説明
証拠隠滅を防ぐため、通常の文書保存ポリシーを停止し、関連データを保全します。
インシデントレスポンス
読み方: インシデントレスポンス
概要
セキュリティインシデント発生時の対応手順。
詳細説明
検知、封じ込め、根絶、復旧、教訓の5段階で構成され、被害の最小化と再発防止を目的とします。
マルウェア解析
読み方: マルウェア かいせき
概要
悪意のあるソフトウェアの動作や目的を解明する技術。
詳細説明
静的解析と動的解析により、マルウェアの機能、感染経路、被害範囲を特定し、対策を立案します。
ログ解析
読み方: ログ かいせき
概要
システムやアプリケーションが出力するログを分析して異常や攻撃を検知する手法。
詳細説明
アクセスログ、エラログ、セキュリティログなどを統合的に分析し、セキュリティインシデントの兆候を発見します。
EDR(エンドポイント検出と対応)
読み方: イーディーアール
概要
Endpoint Detection and Responseの略。リアルタイムに端末の挙動を監視し、異常検知・隔離を行うセキュリティプラットフォーム。
詳細説明
従来のアンチウイルスを超えた高度な脅威検知機能を持ち、攻撃の早期発見と迅速な対応を可能にします。
専門用語についてのご質問
用語集に掲載されていない専門用語や、より詳しい説明が必要な場合は、お気軽にお問い合わせください
お電話での相談
専門スタッフが詳しくご説明いたします
0120-706-332
受付時間: 平日 9:00-18:00