情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅰ 問13: ディジタルフォレンジックスの手順を収集，検査，分析，報告に分けたとき，そのいずれかに該当するものはどれか。

問題本文

ディジタルフォレンジックスの手順を収集，検査，分析，報告に分けたとき，そのいずれかに該当するものはどれか。

選択肢

• ア.サーバとネットワーク機器のログをログ管理サーバに集約し，リアルタイムに相関分析することによって，不正アクセスを検出する。
• イ.ディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。
• ウ.電子メールを外部に送る際に，本文及び添付ファイルを暗号化することによって，情報漏えいを防ぐ。
• エ.プログラムを実行する際に，プログラムファイルのハッシュ値と脅威情報を突き合わせることによって，マルウェアを発見する。

正解

イ. ディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。

解説

ディジタルフォレンジックスは、インシデントの証拠をデータの完全性を保ちながら収集・検査・分析し報告する一連の手続。削除されたログをディスクから復元して痕跡を発見する作業は、まさに検査・分析の工程に該当する。よってイが正解。アは監視、ウは漏えい防止、エはマルウェア検知で、いずれも証拠保全・解析という本来の目的とは異なる。法的証拠としての証拠保全が実務の要点である。

選択肢ごとの解説

• ア.ログを集約しリアルタイム相関分析で不正を検出するのはSIEMによる監視で、事後解析の手続とは異なり誤り。
• イ.削除ログをディスクから復元し痕跡を発見する作業は、フォレンジックスの検査・分析に該当し正解。
• ウ.メールの暗号化による情報漏えい防止は予防策で、証拠の収集・分析とは目的が異なり誤り。
• エ.ハッシュ値と脅威情報の突合せによるマルウェア発見は検知の話で、フォレンジックスの手順とは異なり誤り。