平成29年秋期試験午前問題 午前Ⅱ 問16

午前Ⅱ 問16解説へ
外部から侵入されたサーバ及びそのサーバに接続されていた記憶媒体を調査対象としてディジタルフォレンジックスを行うことになった。まず,稼働状態にある調査対象サーバや記憶媒体などから表に示すa~dのデータを証拠として保全する。保全の順序のうち,最も適切なものはどれか。
16.gif

  • a → c → d → b
  • b → c → a → d
  • c → a → d → b
  • d → c → a → b
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
ディジタルフォレンジックスにて証拠を収集する際には、証拠の滅失を避けるために原則として揮発性の高い情報から順に処理します。IPAによるRFC3227の日本語訳「証拠収集とアーカイビングのためのガイドライン」では、典型的なシステムにおける揮発性の例が挙げられています。
16a.gif
設問の表に示された各データを上表に対応させると、a=遠隔ログ、b=アーカイブメディア、c=ディスク上のファイル、d=ルーティングテーブルに該当します。これを揮発性の高い順に並べた「d → c → a → b」が適切な保全順序になります。したがって「エ」が正解です。

参考URL: RFC3227日本語訳 証拠収集とアーカイビングのためのガイドライン
 https://www.ipa.go.jp/security/rfc/RFC3227JA.html#021

Pagetop