応用情報技術者試験平成31年春午前問39 解説付き過去問

問題

ディジタルフォレンジックスの手順を収集、検査、分析、報告に分けたとき、そのいずれかに該当するものはどれか。

サーバとネットワーク機器のログをログ管理サーバに集約し、リアルタイムに相関分析することによって、不正アクセスを検出する。

ディスクを解析し、削除されたログファイルを復元することによって、不正アクセスの痕跡を発見する。

電子メールを外部に送る際に、本文及び添付ファイルを暗号化することによって、情報漏えいを防ぐ。

プログラムを実行する際に、プログラムファイルのハッシュ値と脅威情報を突き合わせることによって、マルウェアを発見する。

この問題は、デジタルフォレンジックスの手順とその具体的な内容について理解しているかを問うものです。

デジタルフォレンジックスとは
デジタルフォレンジックスは、サイバー攻撃や不正行為が発生した際に、
その証拠をデジタルデータから収集・保全・分析・報告する手法です。
法律的な証拠能力を保つため、手順に則って客観的かつ厳密に作業を行う必要があります。
フォレンジックスの基本手順
デジタルフォレンジックスの一般的な手順は以下のとおりです。
1. 収集（収拾）
  対象となる機器やシステムからログやメモリ、ファイルなどの証拠を破壊せずに収集します。
2. 検査（調査）
  収集したデータを確認し、不審な情報の有無を調べます。
3. 分析
  不審なデータや痕跡を分析し、攻撃の手口や影響範囲、侵入経路などを明らかにします。
4. 報告
  分析結果をまとめ、証拠性を保った報告書を作成します。
本問の正解について
「削除されたログファイルを復元し、不正アクセスの痕跡を発見する」という行為は、
収集・検査・分析の手順の一部に該当するため、デジタルフォレンジックスに含まれます。

したがって、サーバのハードディスクを解析して削除ファイルを復元し、
不正アクセスの痕跡を発見する作業は、デジタルフォレンジックスの一環として適切です。