解答例は公式サイトを確認しているものの、自分の記憶に入り込みやすい形で書いているので、満点解答とは限りません。思考回路をなるべく文字に起こしておりますので、お役に立てれば幸いです。

重要ワード

• マルウェア対策
  マルウェアの感染拡大をどのように防ぐのかをこの問題を通して勉強していきましょう。
• ディジタルフォレンジック
  電子的な証拠をもとにデータ改ざんやデータ盗用の犯罪の足跡をたどること。
  デジタル版の鑑識といったところです。
• マクロマルウェア
  エクセルなどの表計算ソフトの内部マクロに悪意のあるスクリプトが埋め込まれているパターン。実行ファイルのハッシュ値制限だけでは検出できないため、別の対策が必要になります。エクセルなどを開いたときに「マクロの有効化」について問われるあれは、マルウェアが自動的に起動するのを防いでいるのです。

解答・解説

設問１　不審なログインの発見と対応

（１）本文中の下線①について、初動対応の内容を15字以内で述べよ。

解答例：ネットワークから切り離す

解説：マルウェア感染を広めないためにもネットワークから切り離すことが初期対応として挙げられます。例えばマルウェア感染疑惑を報告する際にもメール等ではなく、電話などで報告することも重要ですね。

（２）本文中の下線②について、どのような情報か、15字以内で述べよ。

解答例：ディスクイメージ

解説：刑事モノでは、殺人事件が起きた際に現場を検察官が封鎖して状況証拠を残しておくというシーンがよく見られます。それと同じでデジタルフォレンジックを行なうにあたって、（デジタル的な）現場の証拠の残す必要があります。状況証拠としては、PCのディスクイメージであったり、メモリイメージ、ネットワークログなどが挙げられます。これは文中にはヒントが無いので、知っていないと解けない問題ですね。悔しいですが、覚えておきましょう。

（３）本文中のaに入れる適切な方法を35字以内で、本文及び図2中のbに入れる適切な対応を20 字以内で、図2中のcに入れる適切な方法を25字以内でそれぞれ述べよ。

解答例：a 最新のマルウェア定義ファイルを保存したDVD-Rの使用

b マルウェア定義ファイルの更新

c マルウェア対策ソフトの画面の操作

解説：
aとb
フルスキャンする前にすることと言えば・・・？という考え方だと導けないと考えています。
何故ならやるべきことなんて山ほどあるはずですから。ここは文章中からありそうな選択肢を抜き出す国語の問題を意識して解くべきかもしれません。
文章中では対策ソフトの定義ファイルの更新頻度について長々と書かれております。正直、「9時にアップデートされているはずなのに、インシデント発覚が11時でもう一回ファイル更新するのか・・・」と素人は考えてしまいますが、新しいマルウェアのタイプであった場合、定義ファイルの更新を即時行なうというのが脆弱性の観点から重要ということなのかもしれません。
今回は既にマルウェア感染疑惑中ですので、インターネット通信はできませんので、媒体を利用したファイル更新が適切といえます。
c
一方、今のところマルウェア感染疑惑のない別端末については、即時のファイル更新が必要であるため文章中の「マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを自動更新する・・・」というのが適切といえます。

（４）本文中の下線③について、追加調査の範囲を25字以内で具体的に述べよ。

解答例：Q社内すべてのPC及びサーバーからのアクセス

解説：一次調査（４）では「アドレス元IPアドレスがPC-Gであるアクセスを調査した」と記載されています。これを追加調査すればよいので、アドレスを絞らない調査をすればよいですね。

設問２　項目１の検討

（１）下線④について、変更する２つのルールの項番と、それぞれの変更後のルールにおける送信元の内容を答えよ。

解答例：

解説：
ラッキー問題です。
D主任の提案は利用部署ごとに送信先のサーバーを分けることです。まとめると下記の表のようになります。

これをFWフィルタリングルールに当てはめると解答になります。

（２）表３中のd、eに入れる適切な設定内容を答えよ。

解答例：
d V社配布サイトのURL
e 全て

解説：
d
サーバーLANが接続元となる接続が必要な業務は、定時のマルウェア定義ファイルの更新ですね。なので、V社へのURLは常に許可しておきたいところです。

e
管理者拒否リストに「全て」を記載すると許可しているURL以外の接続が拒否されますから、ここはV社リンク以外は拒否しておきたいところです。

設問３　項目２の検討

（１）本文中の下線⑤について、どのような場合か。30 字以内で具体的に述べよ。