デジタル フォレンジクスと Windows 365 Enterprise クラウド PC

物理デバイスと同様に、Windows 365 Enterpriseクラウド PC は、Microsoft Intuneを使用してデプロイ、セキュリティ保護、管理できます。 PC の所有権の一部として、デジタル フォレンジクスを実行するためにクラウド PC を内部またはサードパーティに提出するように求められる場合があります。 デジタル フォレンジクスは、犯罪捜査や民事訴訟をサポートするためにデジタル データの回復と調査に取り組む科学です。

これらのフォレンジクスをサポートするために、Windows 365 はクラウド PC をレビュー対象にする機能を提供します。 このアクションにより、クラウド PC のスナップショットがお客様の Azure ストレージ アカウントに安全に保存されます。 そのアカウントに転送されると、お客様はスナップショットの完全な所有権を持ちます。 スナップショット改ざんを明らかにするには、スナップショットが Azure Storage アカウントに保存されたらすぐに、スナップショットのファイル ハッシュを作成する必要があります。

調査担当者は、クラウド PC スナップショットのディスク コピーを添付して、フォレンジクス分析専用の安全なストレージ アカウントに転送できます。 このプロセスは、元のソース クラウド PC を再作成したり、電源を入れたり、アクセスしたりすることなく実行できます。

シナリオ

これらのシナリオのいずれかについては、クラウド PC をレビュー対象にする必要がある場合があります。

1. 内部セキュリティ オペレーション センター (SOC) チームからの要求。
2. 内部または外部の第三者監査役からの要求への応答。
3. 保留中または進行中の法的調査への対応として。

デジタル フォレンジクスに関する考慮事項

クラウド PC に保存されたデータに対する法的要求に応じて、管理者は、提供するデジタル証拠が、証拠の取得、保存、およびアクセスのプロセス全体を通じて有効な Chain of Custody (CoC) を示していることを証明する必要があります。 このため、管理者は適切なサポートを確認する必要があります。

• アクセス制御。 Just-In-Time アクセス管理の詳細については、「Azure RBAC のベスト プラクティス」と「Privileged Identity Managementの使用を開始する」を参照してください。
• データ保護と整合性。 スナップショットを含む専用サブスクリプション内の仮想ネットワークのみが、証拠をアーカイブするストレージ アカウントとキー コンテナーにアクセスできます。 詳細については、「Windows 365 クラウド PC の Microsoft Purview カスタマー キー」を参照してください。
• 監視とアラート。 詳細については、「特権 Azure ロールの割り当てに関するアラート」を参照してください。
• ログ記録と監査、職務の分離。 調査担当者に証拠への一時的なアクセス (記録および承認) を付与できるのは、ストレージ アカウントへのアクセス権を持つ管理者の小さなリストのみです。

次の手順

クラウド PC をレビュー対象にします。

Microsoft によるデジタル調査のサポートの詳細については、「Azure でのコンピューター フォレンジクスの Chain of Custody」を参照してください。