応用情報技術者 2019年 春期 午前2 問39
問題文
ディジタルフォレンジックスの手順を収集、検査、分析、報告に分けたとき、そのいずれかに該当するものはどれか。
選択肢
ア:サーバとネットワーク機器のログをログ管理サーバに集約し、リアルタイムに相関分析することによって、不正アクセスを検出する。
イ:ディスクを解析し、削除されたログファイルを復元することによって、不正アクセスの痕跡を発見する。(正解)
ウ:電子メールを外部に送る際に、本文及び添付ファイルを暗号化することによって、情報漏えいを防ぐ。
エ:プログラムを実行する際に、プログラムファイルのハッシュ値と脅威情報を突き合わせることによって、マルウェアを発見する。
ディジタルフォレンジックスの手順分類【午前2 解説】
要点まとめ
- 結論:削除されたログファイルの復元は「分析」に該当し、正解はイです。
- 根拠:収集は証拠の取得、検査は証拠の検証、分析は証拠から事実を導く作業、報告は結果の文書化を指します。
- 差がつくポイント:各手順の役割を正確に理解し、具体的な作業内容と照らし合わせることが重要です。
正解の理由
イはディスクを解析して削除されたログファイルを復元し、不正アクセスの痕跡を発見する行為です。これは収集した証拠を詳細に調査し、隠された情報を明らかにする「分析」の典型的な作業に該当します。単なるデータの取得ではなく、証拠の中身を深く掘り下げるため、分析段階の作業と判断されます。
よくある誤解
ログの集約やリアルタイム分析は「収集」や「検査」と混同されやすいですが、これらは証拠の取得や初期検証にあたり、分析とは異なります。暗号化やハッシュ値の照合は防御や検知の手段であり、フォレンジックスの手順とは区別されます。
解法ステップ
- ディジタルフォレンジックスの4手順(収集、検査、分析、報告)を確認する。
- 各選択肢の作業内容を手順に当てはめる。
- 削除ファイルの復元は証拠の詳細調査で「分析」に該当することを理解する。
- 他の選択肢は収集や検査、防御に関する内容であることを確認する。
- 正解はイと判断する。
選択肢別の誤答解説
- ア:ログの集約とリアルタイム相関分析は「収集」や「検査」に近いが、フォレンジックスの分析とは異なる。
- イ:削除ログの復元は証拠の詳細調査で「分析」に該当し正解。
- ウ:メールの暗号化は情報漏えい防止の対策であり、フォレンジックスの手順には含まれない。
- エ:プログラムのハッシュ値照合はマルウェア検知の手法で、フォレンジックスの分析とは異なる。
補足コラム
ディジタルフォレンジックスは証拠保全のために「収集」段階で適切な手順を踏むことが重要です。分析段階では復元やタイムライン作成、関連性の検証など高度な技術が求められます。報告は調査結果を法的に有効な形でまとめるため、正確かつ明瞭な記述が必要です。
FAQ
Q: ディジタルフォレンジックスの「検査」とは何ですか?
A: 証拠の整合性や改ざんの有無を確認し、証拠としての信頼性を評価する段階です。
A: 証拠の整合性や改ざんの有無を確認し、証拠としての信頼性を評価する段階です。
Q: 削除ファイルの復元はどの段階で行いますか?
A: 証拠の詳細な調査を行う「分析」段階で実施します。
A: 証拠の詳細な調査を行う「分析」段階で実施します。
Q: フォレンジックスとセキュリティ対策の違いは?
A: フォレンジックスは事後調査で証拠を扱い、セキュリティ対策は事前防御や検知を目的とします。
A: フォレンジックスは事後調査で証拠を扱い、セキュリティ対策は事前防御や検知を目的とします。
関連キーワード: ディジタルフォレンジックス、証拠収集、証拠分析、不正アクセス、ログ復元、マルウェア検知
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!