[https://www.youtube.com/watch?v=PPYtU5a0OSI:embed:cite]

令和3年度秋期情報処理安全確保支援士試験午後Ⅰ問3の徹底解説動画です。組織内PCのマルウェア感染を発端としたインシデント対応、証拠保全のためのディスクイメージ取得、そして被害拡大を防ぐためのファイアウォールやプロキシサーバによる厳格なアクセス制御設定について学びます。実務に直結するセキュリティ設計能力と、ハッシュ値を用いた実行制御のメリット・デメリットを体系的に習得しましょう。 本動画を通じて学習すべき重要キーワードとその背景にある考え方を解説します。まずセキュリティインシデント発生時の初動対応において最も重要なアクションの一つが感染が疑われる端末のネットワークからの隔離ですが、それと同時に実施すべきなのがディスクイメージの取得です。これはデジタルフォレンジックスの観点から現状のメモリやディスクの状態をそのまま保存し後から詳細な解析を行えるようにするための証拠保全措置であり、慌てて電源を切ったりファイルを削除したりすると原因究明が困難になるため厳禁とされています。次にマルウェアの調査と駆除のプロセスでは、感染した疑いのあるOS上で対策ソフトを実行するのではなく、最新のマルウェア定義ファイルを保存したDVD-Rなどの外部メディアを用いてクリーンな環境からスキャンを行うという手順が試験では問われます。これはOSの深い部分に潜伏するマルウェアが対策ソフトの検知を回避する可能性があるためです。また本問のメインテーマであるネットワーク構成の見直しにおいては、ファイアウォールのフィルタリングルールの設計が重要になります。多くの組織では内部ネットワーク間の通信を「信頼できる」として緩やかに設定しがちですが、本問では「総務部」「営業部」「技術部」といった部署ごとに必要なサーバへのアクセスだけを許可し、不要な通信経路を遮断する最小権限の原則に基づいた設計変更が求められます。これにより万が一特定の部署の端末が感染しても、そこから他のサーバへの横展開（ラテラルムーブメント）を防ぐことができます。さらにサーバLANからインターネットへの通信制御に関しては、プロキシサーバの設定において「全て拒否」を基本とし、OSの更新や特定のベンダーサイトなど業務上必須のURLのみを許可するホワイトリスト方式（管理者許可リスト）の導入が推奨されます。最後に恒久対策として登場するアプリケーション実行制御（Yソフト）についても理解が必要です。これは実行ファイルのハッシュ値を登録して許可されたソフト以外を起動させない強力な手法ですが、正規のソフトがアップデートされるとハッシュ値が変わり起動できなくなるため登録変更の運用負荷が高いというデメリットがあります。また、Excelなどの正規ソフト自体は許可されているため、その上で動作するマクロウイルスのような脅威はハッシュ値チェックでは防げないという限界点も併せて押さえておくことが、実務における適切なセキュリティ対策の選定には不可欠です。