令和３年度 秋期 情報処理安全確保支援士試験 午後Ⅱ問２過去問題解説

令和3年度 秋期 情報処理安全確保支援士試験 午後Ⅱ 問2を題材に、テレワーク環境の拡大によって複雑化した企業ネットワークで発生したセキュリティインシデントをどのように分析し、どの順序で対処していくべきかを実践的に解説します。クラウド活用やリモートワークの普及により、企業の境界防御だけでは防ぎきれない脅威が増加している中、本問はまさに現代の情報セキュリティ担当者に求められる思考プロセスと技術的知識を問う内容になっています。午後Ⅱ対策としても有用で、リスク分析やインシデント対応の全体像を深く理解するための最適な教材です。

動画の前半では、A社においてテレワーク端末から発生したマルウェア感染のインシデントをもとに、マルウェアの挙動を正確に読み取り、どのような通信が発生し、どこで遮断すべきかを解説します。マルウェア α と β は遠隔操作機能や待機機能を備えており、一週間隔での外部通信を試みる動作など、C&Cサーバとの通信方法に特徴があります。DNSへの問い合わせを行わずに直接通信を行うケースがあるため、DNSシンクホールだけに依存しない制御が必要になる点は重要な学習ポイントです。

中盤では、インシデント調査におけるログ確認の重要性について整理します。特に、イベントログが削除された痕跡を示す記録や、不正行為の証跡に該当するログの読み取り方を解説します。テレワーク端末と連携端末の組み合わせによって感染状況を把握する必要があり、ログ調査の正確さが被害範囲の特定に直結することを強調しています。

さらに、感染拡大を防ぐための優先度付けについても深く掘り下げます。設問で問われた、対処の優先度を上げるべき会員を絞り込むための条件は、連携端末以外のIPアドレスを送信元とする通信の有無を手がかりに判断しますが、実際の解答ではここを明確にできなかった受験者が多かったことが採点講評で指摘されています。情報システムの利用状況に基づいてリスク分析を行い、限られたリソースの中でどこに優先して対処すべきかを判断するのは午後Ⅱで差がつきやすいポイントです。

後半では、テレワーク環境におけるガバナンスの難しさについて言及し、自社の管理が及びにくい外部環境を含めてどのようにセキュリティを担保するべきかを説明します。マルウェア感染は最終的には全ての対象に対処すべきであるものの、初動対応では被害拡大を防ぐ観点から優先順位を明確にする必要があり、その判断力が問われます。

本動画では、クラウド利用、テレワーク端末、C&Cサーバ通信、ログ管理、DNSシンクホール、マルウェア挙動分析といったテーマを一つのシナリオの中で総合的に理解できる構成となっています。令和3年度 午後Ⅱ 問2の出題意図を理解し、実践的なセキュリティインシデント対応能力を身につけたい方は、ぜひ最後までご覧ください。