法執行機関向けの安全でシンプルなユーザーインターフェイスを導入し、監査レポートとシステム制御を通じてデータの整合性が検証されたデジタル証拠の保存と管理を行います
概要
デジタルエビデンスアーカイブ (DEA) は、調査部門が AWS でデジタルエビデンスを管理および保存するのに役立ちます。捜査官やその他の法執行担当者は、関連するデジタルエビデンスを使用してケースを作成および更新できるウェブユーザーインターフェイス (UI) を利用できます。この UI により、USB やハードドライブなどの物理デバイスへの依存がなくなり、ローカルデータセンターの運用時に発生するコストが削減します。
DEA はファイルの完全性、ハッシュ化、暗号化、監査ロギングをサポートしているため、お客様が刑事司法情報サービス (CJIS) セキュリティポリシーの要件を満たすのに役立ちます。
メリット
調査部門が AWS コンソールを操作せずにデータを 1 か所で管理できるシンプルなインターフェイス。この AWS ソリューションのスケール、伸縮性、自動化機能を活用するのに、クラウドの知識は必要ありません。
お客様には、使用したストレージとコンピューティングサービスに対してのみ課金されます。デフォルトのストレージサービスは、インテリジェントな階層化によりストレージコストを自動的に削減します。
暗号化されたデータと、必要に応じて権限を付与できるアクセス制御によってセキュリティを強化します。ファイルはアップロード時にハッシュ化され、また、検証されて証拠が元の形式でロックされていることを確認できるため、ユーザーは管理プロセスを維持できます。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
ステップ 1
ソリューションユーザーが Amazon Cognito と連携する既存の CJIS 準拠の ID プロバイダー (IdP) を通じてサインインし、Amazon API Gateway とウェブ UI で、DEA にアクセスします。
ステップ 2
Amazon API Gateway (ウェブ UI からアクセス) への API コールを使用してケースを作成します。
ステップ 3
ケース作成 API コールが、ソリューションの API ハンドラーである AWS Lambda に転送されます。
ステップ 4
Lambda がロギングを目的として API イベントデータを Amazon CloudWatch に送信します。
ステップ 5
Amazon DynamoDB がケース作成イベントを登録し、ユーザー認証セッションを追跡して、悪意のあるケースアクションを軽減します。
ステップ 6
DEA は SDK を使用してデータをアップロードし、Amazon Simple Storage Service (Amazon S3) を通じて署名済み URL を使用してエビデンスをダウンロードします。
ステップ 7
AWS CloudTrail が、CloudTrail イベントと Amazon S3 オブジェクトレベルの変更を S3 エビデンスバケットに登録します。
ステップ 8
AWS Key Management Service (AWS KMS) のカスタマーマネージドキー (CMK) はサーバー側の暗号化を提供するため、エビデンスの悪用を防ぐことができます。
ステップ 9
Amazon S3 が S3 バッチオペレーションで必要なときに Lambda を呼び出します。
ステップ 10
AWS DataSync はデータを移行するタスクを受け取り、移行からのレポートが Amazon S3 タスクログバケットにアップロードされます。Lambda は、S3 タスクログバケット内のオブジェクト作成イベントをリッスンし、検出されるとファイルの処理を開始します。
ステップ 11
ユーザーが DEA 監査 REST API エンドポイントにクエリを実行して監査レポートを取得します。Amazon Athena がケース監査情報をエンドポイントに返します。
ステップ 1
ソリューションユーザーが Amazon Cognito と連携する既存の CJIS 準拠の ID プロバイダー (IdP) を通じてサインインし、Amazon API Gateway とウェブ UI で、DEA にアクセスします。
ステップ 2
Amazon API Gateway (ウェブ UI からアクセス) への API コールを使用してケースを作成します。
ステップ 3
ケース作成 API コールが、ソリューションの API ハンドラーである AWS Lambda に転送されます。
ステップ 4
Lambda がロギングを目的として API イベントデータを Amazon CloudWatch に送信します。
ステップ 5
Amazon DynamoDB がケース作成イベントを登録し、ユーザー認証セッションを追跡して、悪意のあるケースアクションを軽減します。
ステップ 6
DEA は SDK を使用してデータをアップロードし、Amazon Simple Storage Service (Amazon S3) を通じて署名済み URL を使用してエビデンスをダウンロードします。
ステップ 7
AWS CloudTrail が、CloudTrail イベントと Amazon S3 オブジェクトレベルの変更を S3 エビデンスバケットに登録します。
ステップ 8
AWS Key Management Service (AWS KMS) のカスタマーマネージドキー (CMK) はサーバー側の暗号化を提供するため、エビデンスの悪用を防ぐことができます。
ステップ 9
Amazon S3 が S3 バッチオペレーションで必要なときに Lambda を呼び出します。
ステップ 10
AWS DataSync はデータを移行するタスクを受け取り、移行からのレポートが Amazon S3 タスクログバケットにアップロードされます。Lambda は、S3 タスクログバケット内のオブジェクト作成イベントをリッスンし、検出されるとファイルの処理を開始します。
ステップ 11
ユーザーが DEA 監査 REST API エンドポイントにクエリを実行して監査レポートを取得します。Amazon Athena がケース監査情報をエンドポイントに返します。
関連コンテンツ
AWS でのデジタルエビデンスアーカイブを使用すると、法執行機関関連のお客様は、シンプルなユーザーインターフェイスを通じてデジタルエビデンスを保存および管理できます。システムに保存されているエビデンスは変更されず、監査レポートとアカウンタビリティレポート、ファイルのハッシュ化、CJIS レベルの暗号化、およびアクセスコントロールを使用してその完全性を検証できます。 この 1 ページにまとめられた概要で、メリットと開始方法について詳細をご確認ください。
Digital Evidence Archive API ドキュメントは、このソリューションのプログラムによる統合と利用に関するガイドを提供します。ケース、ファイル、ユーザー、監査証跡の管理に関するリクエストとレスポンスの形式の説明とともに API の概要が記載されています。また、このドキュメントは、デジタル証拠を安全に保存、取得、管理するためのコードサンプルも提供します。