デジタルフォレンジックス|情報処理安全確保支援士試験 令和7年春期午前Ⅱ 問15

出典:令和7年春期 午前Ⅱ 問15 分野:セキュリティ / 情報セキュリティ対策
マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
  • ア:調査対象のPCで動的に追加されたルーティングテーブル
  • イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
  • ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
  • エ:調査対象のPCのシステムログファイル
この問題を解く
解説

デジタルフォレンジックスとは、簡単に言うと、パソコン・サーバ・ネットワーク機器などに残っている証拠を調べる技術のことです。たとえば、不正アクセスがあったときに、下記を調べます。

  • 「誰がアクセスしたのか」
  • 「どこから通信が来たのか」
  • 「どんなファイルが操作されたのか」

コンピュータ上の証拠には、消えやすいものと残りやすいものがあります。たとえば、電源を切っただけで消えてしまう情報があります。これを揮発性データといいます。

一方で、ハードディスクやSSDに保存されたファイルは、電源を切っても基本的には残ります。つまり、証拠保全では、

  • 消えやすい情報を先に集める
  • 消えにくい情報は後で集める

という順番が重要になります。「揮発性が高い」とは、かなり簡単に言うと、すぐに消えてしまう可能性が高いという意味です。たとえば、次のような情報です。

  • メモリ上の情報
  • 実行中のプロセス情報
  • ネットワークの一時的な情報
  • ルーティングテーブル
  • ARPキャッシュ

これらは、パソコンやサーバを再起動したり、時間が経ったりすると変わったり消えたりします。解説に出てくる順番をざっくり言うと証拠を集める優先順位は、だいたい次のようになります。

優先度 情報の種類 イメージ
レジスタ、キャッシュ 今まさにCPUが使っている超一時的な情報
ルーティングテーブル、ARPキャッシュ、プロセス、メモリ 動作中のシステムにある一時的な情報
テンポラリファイル 一時ファイル
ディスク上のファイル 保存されているファイル
遠隔ログ、監視データ 別のサーバなどに残るログ
物理設定、ネットワーク構成 機器の配置や構成情報
アーカイブ用メディア バックアップなど

この中で一番消えやすいのは、ルーティングテーブル です。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
⇒HDD上のファイルであり、揮発性が低いという点で違います。電源断後でも保全できる可能性が高い情報です。
ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
⇒調査対象PC上の揮発性情報ではなく、外部サーバ側のログです。PCの電源断前に最優先で保全する情報ではありません。
エ:調査対象のPCのシステムログファイル
⇒ログファイルはディスク上に保存されるため、ルーティングテーブルなどの揮発性情報より優先度は低いです。
TSUNAGARU-ADVICE

まず押さえたいこと

証拠保全では、電源を切ると失われやすい情報から優先して取得します。ARPキャッシュの次は、同じく揮発性が高い動的に追加されたルーティングテーブルを保全することが重要です。

迷ったときの判断軸

調査対象PC内のHDD上のファイルやシステムログは、電源を切っても比較的残りやすい情報です。一方で、メモリ上で管理される通信経路や接続状態に関する情報は失われやすいため、先に取得すると判断しやすくなります。

科目Bにつなげるために

科目Bでは、インシデント対応で何を保全するかだけでなく、どの順序で保全すべきかが問われます。揮発性の高い情報から順に取得し、後から取得できるファイルや外部サーバのログは優先度を下げる、という考え方を押さえておきましょう。

の問題 試験TOPへ の問題