Chain of Custodyの目的|情報処理安全確保支援士試験 令和8年 科目A-2試験予想Ⅰ 問4
出典:4-4:証拠の収集及び分析| Chain of Custody(証拠保全の一貫性)に関する知識
分野:セキュリティ / 情報セキュリティ
デジタルフォレンジックスにおけるChain of Custodyの説明として,最も適切なものはどれか。
- ア:証拠媒体からデータを取得するときに,取得元の媒体へ書込みが行われないように制御する仕組みである。
- イ:電子データがある時刻に存在していたことや,その時刻以降に変更されていないことを確認するための仕組みである。
- ウ:証拠として提出するデータが,作成者や送信者本人によって作成又は送信されたものであることを確認する性質である。
- エ:証拠資料の取得,保管,移動,分析などの履歴を記録し,証拠が一貫して管理されていたことを示す手続である。
TSUNAGARU-ADVICE
まず押さえたいこと
Chain of Custodyは、デジタルフォレンジックスで扱う証拠資料について、取得・保管・移動・分析などの履歴を記録し、証拠が一貫して管理されていたことを示す手続です。ポイントは、誰が・いつ・どのように証拠を扱ったかを追跡できるようにすることです。
迷ったときの判断軸
取得元媒体への書込みを防ぐ仕組みはライトブロッカ、ある時刻に存在し変更されていないことを示す仕組みはタイムスタンプ、作成者や送信者本人によるものかを確認する性質は真正性に関係します。Chain of Custodyは、証拠の取扱い履歴を切れ目なく記録する手続と判断しましょう。
科目Bにつなげるために
科目Bでは、インシデント発生後にログ・ディスクイメージ・端末・記録媒体などを証拠として扱う場面が出ることがあります。証拠は取得するだけでなく、改ざんや紛失を疑われないように管理履歴を残すことまで含めて整理しておきましょう。
Chain of Custodyは、デジタルフォレンジックスにおいて、証拠資料が取得されてから保管、移動、分析、提出されるまでの取扱い履歴を記録し、証拠が適切に管理されていたことを示す手続です。
証拠として扱うデータは、途中で改ざんされたり、誰が扱ったのか不明になったりすると、証拠としての信頼性が損なわれます。そのため、いつ、誰が、どこで、どのように取得・保管・分析したのかを記録し、一貫して管理されていたことを示す必要があります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:証拠媒体からデータを取得するときに,取得元の媒体へ書込みが行われないように制御する仕組みである。
⇒ライトブロッカの説明です。証拠媒体への書込みを防ぐことで原本性を保つための仕組みですが、証拠資料の取得から分析までの取扱い履歴を記録するChain of Custodyとは異なります。
イ:電子データがある時刻に存在していたことや,その時刻以降に変更されていないことを確認するための仕組みである。
⇒タイムスタンプに関する説明です。電子データの存在時刻や非改ざん性の確認に用いられますが、証拠資料が誰によってどのように管理されてきたかを示す手続ではありません。
ウ:証拠として提出するデータが,作成者や送信者本人によって作成又は送信されたものであることを確認する性質である。
⇒真正性に関する説明です。作成者や送信者が本人であることを確認する性質であり、証拠の取得・保管・移動・分析などの履歴を記録するChain of Custodyとは異なります。