デジタルフォレンジックスの手順|科目A-1 令和7年 秋期午前試験 問44
出典:令和7年秋期 午前 問44
分野:セキュリティ / 情報セキュリティ対策
デジタルフォレンジックスの手順は収集,検査,分析及び報告から成る。このとき,デジタルフォレンジックスの手順に含まれるものはどれか。
- ア:サーバとネットワーク機器のログをログ管理サーバに集約し,リアルタイムに相関分析することによって,不正アクセスを検出する。
- イ:サーバのハードディスクを解析し,削除されたログファイルを復元することによって,不正アクセスの痕跡を発見する。
- ウ:電子メールを外部に送る際に,本文及び添付ファイルを暗号化することによって,情報漏えいを防ぐ。
- エ:プログラムを実行する際に,プログラムファイルのハッシュ値と脅威情報を突き合わせることによって,プログラムがマルウェアかどうかを検査する。
TSUNAGARU-ADVICE
まず押さえたいこと
デジタルフォレンジックスは、インシデント後に証拠となるデータを収集し、検査・分析して、何が起きたのかを報告する活動です。ポイントは、リアルタイム検知や予防ではなく、痕跡を保全・解析して事実を明らかにすることです。
迷ったときの判断軸
ログの相関分析による検知はSIEM、メール暗号化は情報漏えい対策、ハッシュ値と脅威情報の照合はマルウェア検査に近い説明です。フォレンジックスでは、ハードディスクやログなどを解析し、削除されたファイルの復元や不正アクセスの痕跡調査を行う表現に注目しましょう。
科目Bにつなげるために
特に情報処理安全確保支援士試験合格を目指す方は、デジタルフォレンジックスをインシデント対応の後工程として理解しておくと有効です。証拠保全・ログ解析・タイムライン作成・改ざん防止・報告書作成など、攻撃後の原因究明と再発防止につながります。
デジタルフォレンジックスは、インシデントが起きたときに、PC・サーバ・スマートフォンなどに残っている証拠を集め、調べ、報告する活動です。
たとえば、不正アクセスやマルウェア感染が発生した場合、ログ・ファイル・通信記録・メモリ上の情報などを確認します。これらの証拠を正しく扱うことで、「何が起きたのか」「誰が関与したのか」「どのような被害があったのか」を明らかにしやすくなります。
収集では、証拠となるデータを壊したり改ざんしたりしないように注意します。証拠の完全性を保つことが重要です。
検査では、フォレンジックツールなどを使い、ログやファイルの中からインシデントに関係する情報を抽出します。
分析では、抽出した情報をつなぎ合わせて、攻撃の流れや被害内容を明らかにします。
報告では、調査結果をわかりやすくまとめ、再発防止策や法的対応などに役立てます。
つまりデジタルフォレンジックスは、「インシデントの証拠を正しく集めて調べ、何が起きたのかを明らかにする活動」と考えると分かりやすいです。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:サーバとネットワーク機器のログをログ管理サーバに集約し,リアルタイムに相関分析することによって,不正アクセスを検出する。
⇒これは、SIEMなどを用いたログの常時監視とインシデント検知の説明です。デジタルフォレンジックスは、発生した事象について証拠を収集・検査・分析し、経緯や原因を明らかにする活動です。
ウ:電子メールを外部に送る際に,本文及び添付ファイルを暗号化することによって,情報漏えいを防ぐ。
⇒これは、電子メールの機密性を確保して情報漏えいを予防する対策です。インシデント発生後にデジタル証拠を調査するデジタルフォレンジックスではありません。
エ:プログラムを実行する際に,プログラムファイルのハッシュ値と脅威情報を突き合わせることによって,プログラムがマルウェアかどうかを検査する。
⇒これは、マルウェア対策製品などによる実行前の脅威検知です。ハッシュ値の照合自体はフォレンジックスでも利用されますが、この記述はプログラムの実行可否を判断する予防・検知処理であり、証拠の収集・分析を行う手順の説明ではありません。