応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問39: ディジタルフォレンジックスの手順を収集，検査，分析，報告に分けたとき，そのいずれかに該当するものはどれか。

問題本文

ディジタルフォレンジックスの手順を収集，検査，分析，報告に分けたとき，そのいずれかに該当するものはどれか。

選択肢

• ア.サーバとネットワーク機器のログをログ管理サーバに集約し，リアルタイムに相関分析することによって，不正アクセスを検出する。
• イ.ディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。
• ウ.電子メールを外部に送る際に，本文及び添付ファイルを暗号化することによって，情報漏えいを防ぐ。
• エ.プログラムを実行する際に，プログラムファイルのハッシュ値と脅威情報を突き合わせることによって，マルウェアを発見する。

正解

イ. ディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。

解説

ディジタルフォレンジックス（証拠保全・分析）に該当する作業を、リアルタイム監視や事前防御と区別する問題である。ディジタルフォレンジックスは、すでに起きた事件・事故の証拠を収集・検査・分析して原因や痕跡を明らかにする事後対応の活動である。ディスクを解析して削除されたログを復元し不正アクセスの痕跡を発見するイは、まさに保全したデータの検査・分析に該当するため、イが正解である。

選択肢ごとの解説

• ア.ログをリアルタイムに相関分析して不正アクセスを検出するのは SIEM などによる監視・検知の活動であり、事後に証拠を分析するフォレンジックスとは目的が異なる。
• イ.ディスクを解析し削除されたログを復元して痕跡を発見するのは、保全データの検査・分析にあたるディジタルフォレンジックスの作業であり正しい。
• ウ.メールの本文や添付を暗号化して漏えいを防ぐのは事前の情報漏えい対策であり、事後の証拠分析であるフォレンジックスには該当しない。
• エ.実行時にハッシュ値と脅威情報を照合してマルウェアを発見するのはアンチウイルスなどによる検知であり、フォレンジックスの手順には該当しない。