HOME»情報処理安全確保支援士令和5年春期»午前Ⅱ 問13
情報処理安全確保支援士令和5年春期 午前Ⅱ 問13
問13
マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
- 調査対象のPCで動的に追加されたルーティングテーブル
- 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
- 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
- 調査対象のPCのシステムログファイル
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ア
解説
デジタルフォレンジックスにおける証拠保全では、コンピュータの電源切断や時間経過に伴って消失する揮発性データを優先して保全する必要があります。つまり、揮発性の高いデータ順に行っていくべきです。特定非営利法人のデジタルフォレンジック協会「証拠保全ガイドライン第9版」では、"証拠収集における揮発性と順序"が次のように示されています。
【優先度:高↑】
選択肢の内容を見ると、「イ」の個人情報を格納したテキストファイルは揮発性中位となる"ディスク"、「ウ」のVPNサーバ内のログは"当該システムと関連する遠隔ロギングと監視データ"、「エ」のシステムログは"アーカイブ用メディア"に該当します。最も優先度が高いのは、永続的なファイルではなく一時的な情報である「ア」の"ルーティングテーブル"となります。
【優先度:高↑】
- レジスタ、キャッシュ
- ルーティングテーブル、ARPキャッシュ、プロセステーブル、カーネル統計、メモリ
- テンポラリファイルシステム
- ディスク
- 当該システムと関連する遠隔ロギングと監視データ
- 物理設定、ネットワークトポロジ
- アーカイブ用メディア
選択肢の内容を見ると、「イ」の個人情報を格納したテキストファイルは揮発性中位となる"ディスク"、「ウ」のVPNサーバ内のログは"当該システムと関連する遠隔ロギングと監視データ"、「エ」のシステムログは"アーカイブ用メディア"に該当します。最も優先度が高いのは、永続的なファイルではなく一時的な情報である「ア」の"ルーティングテーブル"となります。