情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

攻撃を受けたとみられるPCやサーバをシャットダウンしない理由について質問です。
過去問でも数回問われていますが、今まで私が確認した範囲でも
・  メモリの情報が失われることを防ぐため
・  ファイルが書き換えられることを防ぐため
と2種類の模範回答がありました。
これらはどちらも要するに同じことを言っている、という認識で良いのでしょうか。
別の事象を指している可能性がある場合、具体的な説明をお願いしたいです。
また、シャットダウンしない理由として別の回答が可能であれば教えてください。
よろしくお願いします。

私は、難しく考えず、言葉の意味をそのまま解釈しました。
つまり、具体的には、
・電力断による揮発性メモリデータの消失
・シャットダウン動作による、OSなどの様々なファイルの書換え

このように解釈しています。

直接の回答にはなっていませんが、参考になればと。

「証拠保全ガイドライン 第7版」2018年7月20日
特定非営利活動法人デジタル・フォレンジック研究会
  5-1-2.電源の供給停止の可否について
  5-2-2.対象物がコンピュータ（デスクトップ型）で、電源がON の状態の場合
に詳しく解説があります。
ここに掲載すると長くなりますので、WEB検索し見てください。

現場的な話をすると、

前者はメモリダンプを取るためですね。メモリダンプからはどんなプロセスが動いていたか、どんな通信をしていたか等の様々な情報が取れます。
解析ツールとしては、Volatility FrameworkやFTK Imager Liteが有名ですね。
詳しくはメモリフォレンジック等で調べるといいかもしれません。

後者は一般的によくあるウイルスの後処理として、シャットダウンイベントで自分自身や証拠となる足跡を全て消してしまう事があるからです。シャットダウンで消えちゃうんじゃ意味無くない？と思うかもしれませんが、サーバはあまりシャットダウンしないので十分仕事をする時間がありますし、それ以上に証拠を残さない事の方が重要である場合が多いからです。

皆様

ご回答ありがとうございます。
それぞれ別のリスクのための対策であると理解しました。
問題文を読んで、より適切な方の理由を挙げるようにしようと思います。