ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問16
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。 まず, 稼働状態にある調査対象サーバや記憶媒体などから表に示す a〜dのデータを証拠として保全する。保全の順序のうち, 最も適切なものはどれか
ア:a → c → d → b
イ:b → c → a → d
ウ:c → a → d → b
エ:d → c → a → b(正解)
解説
証拠データの保全順序の適切な選択【午前2 解説】
要点まとめ
- 結論:証拠保全は揮発性の高いデータから順に行い、最も揮発性の低い物理媒体は最後に保全します。
- 根拠:揮発性の高いデータは時間経過や電源断で消失するため、早急に取得が必要です。
- 差がつくポイント:ルーティングテーブルなどの揮発性情報を最初に、物理的なCDなどは最後に保全する順序を理解すること。
正解の理由
選択肢エの「d → c → a → b」は、揮発性の高いルーティングテーブル(d)を最初に保全し、次にハードディスク上の表計算ファイル(c)、遠隔ログサーバのログ(a)、最後にインストール用CD(b)という順序であり、証拠の消失リスクを最小化しています。揮発性の高い情報は電源断や時間経過で消失しやすいため、最優先で取得すべきです。
よくある誤解
揮発性の低い物理媒体を先に保全すれば安全と考えがちですが、揮発性の高いデータはすぐに消失するため、優先的に取得しなければ証拠が失われます。
解法ステップ
- 証拠データの揮発性を理解する(揮発性が高いほど早く保全が必要)
- ルーティングテーブルなどの揮発性情報を最優先で取得する
- ハードディスク上のファイルなどの二次的なデータを取得する
- 遠隔ログサーバのログなど、揮発性が低いが重要なログを取得する
- インストール用CDなどの物理媒体を最後に保全する
選択肢別の誤答解説
- ア: a → c → d → b
遠隔ログ(a)を最初に取得しているが、揮発性の高いルーティングテーブル(d)を後回しにしているため不適切。 - イ: b → c → a → d
物理媒体のCD(b)を最初に取得しており、揮発性の高い情報を最後にしているため証拠消失のリスクが高い。 - ウ: c → a → d → b
ハードディスク上のファイル(c)を最初に取得し、揮発性の高いルーティングテーブル(d)を後回しにしている点が問題。 - エ: d → c → a → b
揮発性の高い順に適切に保全しており、最も適切な順序。
補足コラム
ディジタルフォレンジックスでは、揮発性メモリ(RAM)やネットワーク状態などの一時的な情報を最優先で取得し、その後にハードディスクや外部媒体のデータを保全します。これにより、証拠の改ざんや消失を防ぎ、法的に有効な証拠を確保できます。
FAQ
Q: なぜルーティングテーブルの状態を最初に保全するのですか?
A: ルーティングテーブルは揮発性が高く、サーバの電源が切れると消失するため、最優先で取得する必要があります。
A: ルーティングテーブルは揮発性が高く、サーバの電源が切れると消失するため、最優先で取得する必要があります。
Q: 遠隔ログサーバのログはなぜ後回しにしてもよいのですか?
A: 遠隔ログサーバのログはサーバの電源状態に依存せず保存されているため、揮発性が低く後回しでも問題ありません。
A: 遠隔ログサーバのログはサーバの電源状態に依存せず保存されているため、揮発性が低く後回しでも問題ありません。
関連キーワード: ディジタルフォレンジックス, 証拠保全, 揮発性データ, ルーティングテーブル, 記憶媒体