[https://www.youtube.com/watch?v=-zB2sbwwmn4:embed:cite]

本動画は、令和4年度 秋期 情報処理安全確保支援士試験 午後Ⅱ 問2の過去問題解説です。EDR（Endpoint Detection and Response）を活用した未知のマルウェア検知、ログ分析による感染タイムラインの特定、そしてインシデントレスポンスチーム（IRT）の体制整備が本問の主題です。USBメモリ経由の感染拡大の追跡や、圧縮ファイルによる情報漏えいの特定など、実践的な対応手順をサクラ先輩・モモちゃんと一緒に学びましょう。 本問題の学習における中心的なキーワードはEDR（Endpoint Detection and Response）です。従来のウイルス対策ソフトがパターンマッチングに依存するのに対し、EDRは端末上のファイル操作、ネットワーク通信、プロセス起動といったイベントを記録し、その挙動から未知の脅威を可視化します。本問では、複数のPCに残されたEDRのログを時系列に整理し、マルウェアがUSBメモリを経由して物理的にどのように移動し、感染を広げたかを追跡するタイムライン分析のスキルが問われます。ここで重要となるのが、USBメモリのドライブ文字がPC環境によって変化するという相対性の理解です。ログ上のドライブ名だけでなく、ファイルサイズやハッシュ値、タイムスタンプの変化を緻密に追うことで、事実関係を正確に特定するフォレンジック調査の基礎力が試されます。次に注目すべきはマルウェアのパーシステンス（永続化）の手口とその検知ルールです。本問のマルウェアは、正規のソフトウェアがデータファイルを読み込んだ直後に、マクロを埋め込んだ不正なファイルで上書き保存することで、次回のソフト起動時に自動的に実行される仕組みを持っています。これに対抗するため、「特定のファイル読み込みから1分以内に、同一パスへの書き込みが発生する」といった具体的な検知ルールを設計するロジックを理解する必要があります。また、情報漏えいインシデントにおけるファイルの圧縮と属性変化も重要な学習ポイントです。攻撃者や内部犯がデータを外部へ持ち出す際、ファイルをZIPなどで圧縮すると、ファイル名やファイルサイズが変化します。そのため、単純なファイル名検索では痕跡を見逃してしまいます。プロキシサーバの送信ログとEDRの「ファイル圧縮」イベントを突き合わせ、圧縮後のサイズや通信先URLから流出経路を特定する推論力が求められます。最後に、組織的なインシデントレスポンス体制（IRT）の改善も欠かせないテーマです。本問では、緊急時にメンバー全員の集合を待って対応が数週間遅れるという事例が扱われており、最低限のメンバーが集まった時点で初動対応を開始するという、スピードを重視した意思決定プロセスの重要性が説かれています。技術的なログ分析能力と、迅速な組織対応の両輪を深く理解することが、合格への鍵となります。