揮発性データ

インシデント発生時にコンピュータやネットワーク上のデジタルデータを法的に有効な形で収集・保全・分析・報告する一連の技術・手法。不正行為の証拠を確保し、インシデントの原因究明や法的措置を支援する。証拠の完全性を維持するため、厳格な手順に従って実施する。

デジタルフォレンジックスにおいて、インシデントに関連する証拠データの改ざんや消失を防ぎ、原本の完全性を維持した状態で収集・保管すること。揮発性の高いデータ（メモリ内容、ARPキャッシュ等）から優先的に取得し、ディスクイメージのビット単位での複製などを行う。

デジタル証拠の収集から法廷での提出に至るまで、証拠の取扱いに関する一連の記録を管理する概念。誰が、いつ、どこで、何を、どのように扱ったかを文書化することで、証拠が改ざんされていないことを証明し、法的な証拠能力を確保する。

証拠保全のために、ハードディスクやSSDなどの記憶媒体の内容をビット単位で完全に複製したファイル。削除済みファイルの痕跡や未使用領域のデータも含めてすべてのセクタを複製する。複製後はハッシュ値を算出して原本との同一性を検証する。

コンピュータの主記憶（RAM）の内容をダンプし、実行中のプロセス、ネットワーク接続、暗号鍵、マルウェアのコードなどの揮発性情報を分析する技術。ファイルレスマルウェアのように、ディスクに痕跡を残さない攻撃の調査に特に有効である。

監査の結論を裏付けるために収集される記録、事実の陳述、その他の情報。システムログ、ネットワークのログ、設定情報、文書記録などが含まれる。十分かつ適切な監査証拠に基づいて監査意見を形成する。