応用情報技術者試験 応用情報技術者試験 令和5年度春期 午前 問42: デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

問題本文

デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

選択肢

• ア.サーバとネットワーク機器のログをログ管理サーバに集約し，リアルタイムに相関分析することによって，不正アクセスを検出する。
• イ.サーバのハードディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。
• ウ.電子メールを外部に送る際に，本文及び添付ファイルを暗号化することによって，情報漏えいを防ぐ。
• エ.プログラムを実行する際に，プログラムファイルのハッシュ値と脅威情報を突き合わせることによって，プログラムがマルウェアかどうかを検査する。

正解

イ. サーバのハードディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。

解説

デジタルフォレンジックスは、不正アクセスやインシデントが起きた後に、その原因や被害状況を解明するための証拠を収集・保全・分析する活動である。収集・検査・分析・報告という手順のとおり、すでに起きた事象の痕跡を解析する行為が該当するので、ハードディスクを解析して削除されたログを復元し痕跡を発見する選択肢イが正解である。

選択肢ごとの解説

• ア.ログを集約しリアルタイムに相関分析して不正アクセスを検出するのはSIEMによる検知の説明であり、事後の証拠解析であるフォレンジックスとは異なるので誤り。
• イ.ハードディスクを解析して削除されたログを復元し痕跡を発見する行為は、事後に証拠を収集・分析するデジタルフォレンジックスそのものなので正しい。
• ウ.メール本文や添付ファイルを暗号化して情報漏えいを防ぐのは事前の漏えい対策であり、証拠解析を行うフォレンジックスではないので誤り。
• エ.実行時にハッシュ値と脅威情報を突き合わせてマルウェアか検査するのはマルウェア検知の説明であり、フォレンジックスの手順ではないので誤り。