情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問16: 外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや
←情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示す a〜d のデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
| 証拠として保全するデータ |
|---|
| a | 遠隔にあるログサーバに記録された調査対象サーバのアクセスログ |
| b | 調査対象サーバにインストールされていた会計ソフトのインストール用 CD |
| c | 調査対象サーバのハードディスク上の表計算ファイル |
| d | 調査対象サーバのルーティングテーブルの状態 |
問題本文
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示す a〜d のデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
選択肢
- ア.a → c → d → b
- イ.b → c → a → d
- ウ.c → a → d → b
- エ.d → c → a → b
解説
ディジタルフォレンジックスでは、消えやすい(揮発性の高い)証拠から先に保全するのが原則。最も揮発性が高いのは稼働中サーバのメモリやルーティングテーブルなど(d)で、次にハードディスク上のファイル(c)、遠隔のログサーバ上のログ(a)、最後に状態が変わらないインストール用CD(b)の順となる。よってエが正しい。実務では収集順序を誤ると重要な揮発情報が失われ、証拠能力を損なう。
選択肢ごとの解説
- ア.最初にログ(a)を保全し揮発性の高いルーティングテーブル(d)を後回しにしており順序が誤り。
- イ.最も揮発しないCD(b)を先頭に置いており、揮発性の高い順という原則に反し誤り。
- ウ.揮発性が最も高いルーティングテーブル(d)を後にしており、収集順序として誤り。
- エ.揮発性の高いルーティングテーブルd→ファイルc→遠隔ログa→不変のCDbの順で正解。
情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ の過去問一覧へ戻る・問16