情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅰ 問13: デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

問題本文

デジタルフォレンジックスの手順は収集，検査，分析及び報告から成る。このとき，デジタルフォレンジックスの手順に含まれるものはどれか。

選択肢

• ア.サーバとネットワーク機器のログをログ管理サーバに集約し，リアルタイムに相関分析することによって，不正アクセスを検出する。
• イ.サーバのハードディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。
• ウ.電子メールを外部に送る際に，本文及び添付ファイルを暗号化することによって，情報漏えいを防ぐ。
• エ.プログラムを実行する際に，プログラムファイルのハッシュ値と脅威情報を突き合わせることによって，プログラムがマルウェアかどうかを検査する。

正解

イ. サーバのハードディスクを解析し，削除されたログファイルを復元することによって，不正アクセスの痕跡を発見する。

解説

デジタルフォレンジックスは、インシデントの証拠を法的に有効な形で保全・解析する手続。ディスクを解析し削除されたログを復元して不正アクセスの痕跡を見つける作業はまさに収集・検査・分析に該当しイが正解。リアルタイム検知や暗号化は予防・検知策で事後の証拠解析ではない。実務では改ざん防止のため証拠の完全性(ハッシュ保全)と取得経路の記録が重要。

選択肢ごとの解説

• ア.ログを集約しリアルタイム相関分析で検知するのはSIEMの機能で、事後の証拠解析ではない。
• イ.ディスクを解析し削除ログを復元して痕跡を発見する作業は、フォレンジックスの分析そのもの。
• ウ.メールの暗号化は情報漏えいの予防策であり、証拠を収集・分析する手順には当たらない。
• エ.ハッシュと脅威情報の照合はマルウェア検査で、インシデント後の証拠解析とは目的が異なる。