By | March 24, 2022

データリカバリ、コンピュータフォレンジック、電子情報開示の違いは何ですか?

3つのフィールドはすべて、データ、特にデジタルデータを扱います。 それはすべて、0と1の形の電子に関するものです。 そして、それはすべて、見つけるのが難しいかもしれない情報を取り、それを読みやすい方法で提示することです。 ただし、重複はありますが、スキルセットには、さまざまなツール、さまざまな専門分野、さまざまな作業環境、さまざまな物事の見方が必要です。

データの回復には、一般的に、ハードウェアであろうとソフトウェアであろうと、壊れたものが含まれます。 コンピュータがクラッシュしてバックアップを開始しない場合、外付けハードディスク、サムドライブ、またはメモリカードが読み取れなくなった場合は、データの回復が必要になることがあります。 多くの場合、データの回復が必要なデジタルデバイスには、電子的損傷、物理的損傷、またはその2つの組み合わせがあります。 そのような場合、ハードウェアの修復はデータ回復プロセスの大きな部分になります。 これには、ドライブの電子機器の修理、またはディスクドライブの密閉部分内の読み取り/書き込みヘッドのスタックの交換が含まれる場合があります。

ハードウェアに損傷がない場合、ファイルまたはパーティションの構造が破損している可能性があります。 一部のデータ回復ツールはパーティションまたはファイル構造を修復しようとしますが、他のツールは破損したファイル構造を調べてファイルを引き出しようとします。 パーティションとディレクトリは、16進エディタを使用して手動で再構築することもできますが、最新のディスクドライブのサイズとそれらのデータ量を考えると、これは実用的でない傾向があります。

概して、データ回復は一種の「マクロ」プロセスです。 最終的には、個々のファイルにあまり注意を払わずに大量のデータが保存される傾向があります。 データ回復ジョブは、多くの場合、ハードウェアまたはソフトウェアに損傷を与えた個々のディスクドライブまたはその他のデジタルメディアです。 データリカバリには、業界全体で受け入れられている特定の標準はありません。

電子情報開示は通常、無傷のハードウェアとソフトウェアを扱います。 電子情報開示における課題には、「重複排除」が含まれます。 検索は、非常に大量の既存またはバックアップされた電子メールおよびドキュメントを介して実行される場合があります。

コンピュータと電子メールの性質上、さまざまなドキュメントや電子メールの同一の複製(「複製」)が非常に多く存在する可能性があります。 電子情報開示ツールは、重複排除とも呼ばれる重複のインデックス作成と削除により、データの管理不可能な急流を管理可能なサイズにまで選別するように設計されています。

電子情報開示は、損傷を受けていないハードウェアからの大量のデータを処理することが多く、手続きは連邦民事訴訟規則( “FRCP”)に該当します。

コンピュータフォレンジックには、電子情報開示とデータ回復の両方の側面があります。

コンピュータフォレンジックでは、フォレンジックエグザミザ(CFE)は、既存のデータと既存のデータ、または削除されたデータの両方を検索して検索します。 この種の電子情報開示を行うと、フォレンジックの専門家が損傷したハードウェアを扱うことがありますが、これは比較的まれです。 削除されたファイルをそのまま回復するために、データ回復手順が実行される場合があります。 しかし、多くの場合、CFEは、データ回復業界で見られるスキル以外のスキルを必要とするデータを隠したり破壊したりする意図的な試みに対処する必要があります。

電子メールを処理する場合、CFEは多くの場合、未割り当て領域で環境データ(ユーザーが読み取り可能なファイルとして存在しなくなったデータ)を検索します。 これには、特定の単語やフレーズの検索(「キーワード検索」)または未割り当て領域の電子メールアドレスが含まれる場合があります。 これには、削除された電子メールを見つけるためにOutlookファイルをハッキングすることが含まれる場合があります。 これには、キャッシュファイルやログファイル、さらにはデータの残りをインターネット履歴ファイルで調べることも含まれます。 そしてもちろん、同じデータのアクティブファイルの検索が含まれることもよくあります。

事件や告訴を裏付ける特定の文書を探す場合の慣行は似ています。 キーワード検索は、アクティブなドキュメントまたは表示されているドキュメント、およびアンビエントデータの両方で実行されます。 キーワード検索は慎重に設計する必要があります。 そのようなケースの1つとして、著者が2台のディスクドライブで100万を超えるキーワード「ヒット」を発見したSchlinger Foundation vBlairSmithがあります。

最後に、コンピュータフォレンジックの専門家は、寄託または法廷で専門家証人として証言するように求められることもよくあります。 その結果、CFEの方法と手順は顕微鏡下に置かれる可能性があり、専門家は彼または彼女の結果と行動を説明し、擁護するよう求められる可能性があります。 専門家証人でもあるCFEは、法廷または他の場所で公開された文書で述べられたことを弁護しなければならない場合があります。

ほとんどの場合、データリカバリは1つのディスクドライブまたは1つのシステムからのデータを処理します。 データリカバリハウスには独自の基準と手順があり、認証ではなく評判に取り組んでいます。 電子情報開示では、多数のシステムからのデータ、または多くのユーザーアカウントが含まれている可能性のあるサーバーからのデータを頻繁に処理します。 電子情報開示の方法は、実績のあるソフトウェアとハ​​ードウェアの組み合わせに基づいており、事前に計画するのが最適です(ただし、事前計画がないことは非常に一般的です)。 コンピュータフォレンジックは、1つまたは複数のシステムまたはデバイスを処理する場合があり、要求や要求の範囲内でかなり流動的である場合があり、多くの場合、欠測データを処理する場合があり、法廷で防御可能である必要があります。

EZ