セキュリティスペシャリスト
問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_sc
答えはIPAの回答例となります。
構成
設問1
(1)
まずマルウエア感染が疑われたら初動としてはネットワークから切り離すので、PC-GをLANから切り離しましょう。
答え(1):LANから切り離す
(2)
またディジタルフォレンジックによる調査を行うとのことのなので、現状保存のためにハードディスク中身を保存します。
その方法をディスクイメージというようです。
答え(2):ディスクイメージ
(3)
PC-Gをフルスキャンするということですが、スキャンするにあたりマルウェア定義ファイルは細心にする必要があります。
マルウエア定義ファイルの更新は3パターンありますが、PC-GはLANから切り離しているので赤線と青線はLANにつながってないので実行できません。
結果、紫線のパターンが対応可能となります。
答え a:最新のマルウェア定義ファイルを保存したDVD-Rの使用
答え b:マルウェア定義ファイルの更新
他の社員のPCはLANに接続されているので、Cは赤線は毎朝更新なので無しとなり、必然的に青線のパターンでの更新となります。
答え c:マルウェア対策ソフトの画面の操作
(4)
調査したのが、PC-GからのCリスト(C&Cサーバリスト)へのアクセス履歴だけなので
答え:Q社内の図べ手のPC及びサーバからのアクセス
設問2
(1)
こちらはそのまま、Fサーバ1へのアクセス元と、Fサーバ2へのアクセス元を文言通り変更ですね
答え①:項番 3
送信元 総務部LAN、営業部LAN
答え②:項番 4
送信元 技術部LAN
(2)
サーバからのインターネットかへアクセスはマルウェア定義ファイルの更新だけなので、
答え d:V社配布サイトのURL
答え c:全て
設問3
(1)
実行ファイルのハッシュ値を登録している実行ファイルのハッシュ値と比較して一致すれば実行できる仕様となります。
その場合、実行しようとしているファイルが少しでも変更されるとハッシュ値が変わってしまうので、一致しなくなりますね。
なので、ハッシュ値の登録変更が必要になるのは
答え:登録した実行ファイルがバージョンアップされた場合
(2)
実行ファイルなどのワードやエクセルの実行を許可している場合、ワードやエクセル内で組んでいるマクロなどの実行はYソフトでは禁止できないと思われます。
・・・試験の時にこんな答えは出てこないです
答え:登録した実行ファイルのマクロとして実行されるマルウェア
コメント