デジタルフォレンジックス|情報処理安全確保支援士試験 令和3年 秋期午前Ⅱ試験 問12
出典:令和3年秋期 午前Ⅱ 問12
分野:セキュリティ / 情報セキュリティ対策
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてデジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
| 証拠として保全するもの | |
| a | 遠隔にあるログサーバに記録された調査対象サーバのアクセスログ |
| b | 調査対象サーバにインストールされていた会計ソフトのインストール用CD |
| c | 調査対象サーバのハードディスク上の表計算ファイル |
| d | 調査対象サーバのルーティングテーブルの状態 |
- ア:a → c → d → b
- イ:b → c → a → d
- ウ:c → a → d → b
- エ:d → c → a → b
TSUNAGARU-ADVICE
まず押さえたいこと
デジタルフォレンジックスでは、証拠が失われやすいものから先に保全します。稼働中のサーバでは、ルーティングテーブルの状態のような揮発性の高い情報を優先し、次にハードディスク上のファイル・遠隔ログ・インストール用CDのような変化しにくいものへ進みます。
迷ったときの判断軸
ルーティングテーブルは稼働中の状態に依存し、再起動や通信状況の変化で失われる可能性があります。表計算ファイルはディスク上に残りますが、改ざんや削除のリスクがあります。遠隔ログサーバ上のアクセスログやCDは比較的変化しにくいため、揮発性が高い順に保全すると判断できます。
科目Bにつなげるために
科目Bでは、侵害調査でどの証拠を先に取得すべきかを問われることがあります。メモリ・通信状態・プロセス・ルーティングテーブルなどの稼働中情報は先に失われやすいため、証拠保全は消えやすいものからという原則で整理しましょう。
デジタルフォレンジックスで稼働中の機器から証拠を保全する場合、揮発性の高い情報から順に保全するのが原則です。
ルーティングテーブルの状態は、サーバの稼働状況や通信状況によって変化しやすい情報です。次に、調査対象サーバのハードディスク上のファイル、遠隔ログサーバのアクセスログ、インストール用CDの順に、変化しやすいものから保全します。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:a → c → d → b
⇒遠隔ログサーバのアクセスログから先に保全しており、稼働中サーバ上で変化しやすいルーティングテーブルの状態が後回しになっています。揮発性の高い情報を優先するという証拠保全の考え方に合いません。
イ:b → c → a → d
⇒インストール用CDは内容が変化しにくい証拠です。最も揮発性が高いルーティングテーブルの状態を最後にしているため、保全順序として適切ではありません。
ウ:c → a → d → b
⇒ハードディスク上の表計算ファイルや遠隔ログサーバのアクセスログよりも、ルーティングテーブルの状態の方が変化しやすい情報です。揮発性の高い情報を先に保全する原則から外れています。