●トピック
●深く知る
過去事象を説明するには証拠が必要である。事象発生時点からその証拠能力は変わってはならない。合衆国修正第4条、電子的証拠開示といった規則、手続きの上で証拠を取得し、その後は証拠保全に徹する必要がある。また、その証拠の性質に注目し有効であるかを事象発生時に把握しておくことも必要であろう。伝聞証拠禁止の原則、最良証拠の原則、口頭証拠排除の原則といった証拠になりうる原則を抑えておかなければならない。
システムログの証拠能力は状況によって分かれるようだ。というのは、システムログは電子的な状態であるためである。しかしながら、日常取りえているような監視カメラの撮影データのように、証拠となりうる場合もあるので、その都度専門家に確認するべきだ。