ホーム > 情報処理安全確保支援士試験 > 2021年 秋期
情報処理安全確保支援士試験 2021年 秋期 午前2 問12
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。このとき,稼働状態にある調査対象のサーバ,記憶媒体などから表に示すa~dを証拠として保全する。保全の順序のうち,揮発性の観点から最も適切なものはどれか。
ア:a → c → d → b
イ:b → c → a → d
ウ:c → a → d → b
エ:d → c → a → b(正解)
解説
ディジタルフォレンジックスにおける証拠保全の順序【午前2 解説】
要点まとめ
- 結論:揮発性の高い情報から順に保全するため、ルーティングテーブル(d)→ハードディスク上のファイル(c)→ログサーバのログ(a)→インストール用CD(b)の順が最適です。
- 根拠:揮発性とは電源断やシステム停止で消失する情報の性質であり、メモリ情報やネットワーク状態は特に揮発性が高いです。
- 差がつくポイント:揮発性の高い情報を優先的に取得し、後から揮発性の低い物理媒体を保全する手順を理解しているかが重要です。
正解の理由
選択肢エは、揮発性の高いルーティングテーブル(d)を最初に保全し、次にハードディスク上の表計算ファイル(c)、さらに遠隔のログサーバにあるログ(a)、最後に物理的に変化しにくいインストール用CD(b)を保全しています。
ルーティングテーブルはメモリ上の情報であり、電源断で消失するため最優先で取得すべきです。ハードディスクのファイルは電源断で消えませんが、改変される可能性があるため早めに保全します。ログサーバのログは遠隔にあり揮発性は低く、CDは物理媒体で揮発性がほぼないため最後で問題ありません。
ルーティングテーブルはメモリ上の情報であり、電源断で消失するため最優先で取得すべきです。ハードディスクのファイルは電源断で消えませんが、改変される可能性があるため早めに保全します。ログサーバのログは遠隔にあり揮発性は低く、CDは物理媒体で揮発性がほぼないため最後で問題ありません。
よくある誤解
揮発性の高い情報は電源を切ってから取得しても問題ないと誤解しがちですが、電源断で消失するため必ず稼働中に取得する必要があります。
解法ステップ
- 揮発性の定義を確認し、どの情報が揮発性が高いかを判断する。
- メモリ上の情報(ルーティングテーブルなど)を最優先で保全する。
- 次にハードディスクなどの記憶媒体上のファイルを保全する。
- 遠隔のログサーバなど揮発性が低い情報を保全する。
- 最後に物理的に変化しにくい媒体(CDなど)を保全する。
選択肢別の誤答解説
- ア: a→c→d→b
遠隔ログ(a)を最初に保全するのは揮発性の観点で優先度が低く、ルーティングテーブル(d)を後回しにしているため誤り。 - イ: b→c→a→d
インストール用CD(b)を最初に保全しているが、物理媒体は揮発性が低いため優先度が低い。ルーティングテーブル(d)を最後にしているのも誤り。 - ウ: c→a→d→b
ハードディスク上のファイル(c)を最初に保全しているが、揮発性の高いルーティングテーブル(d)を後回しにしているため誤り。 - エ: d→c→a→b
揮発性の高い順に正しく保全しているため正解。
補足コラム
揮発性メモリ(RAM)上の情報は電源断で消失するため、ディジタルフォレンジックスでは「揮発性情報の優先保全」が基本原則です。ルーティングテーブルやネットワーク接続情報、メモリダンプなどは稼働中に取得し、システム停止後はハードディスクやログなどの非揮発性情報を保全します。
FAQ
Q: 揮発性情報とは何ですか?
A: 電源断やシステム停止で消失する情報で、主にメモリ上のデータやネットワーク状態が該当します。
A: 電源断やシステム停止で消失する情報で、主にメモリ上のデータやネットワーク状態が該当します。
Q: なぜログサーバのログは揮発性が低いのですか?
A: ログサーバは遠隔の物理的に独立した記憶装置であり、電源断で消失しにくいため揮発性が低いとされます。
A: ログサーバは遠隔の物理的に独立した記憶装置であり、電源断で消失しにくいため揮発性が低いとされます。
Q: インストール用CDはなぜ最後に保全するのですか?
A: CDは物理媒体であり、電源断やシステム状態に影響されず揮発性がほぼないため、最後に保全しても問題ありません。
A: CDは物理媒体であり、電源断やシステム状態に影響されず揮発性がほぼないため、最後に保全しても問題ありません。
関連キーワード: ディジタルフォレンジックス, 揮発性情報, 証拠保全, ルーティングテーブル, ハードディスク, ログサーバ, 記憶媒体