情報セキュリティの専門家として実務に直結する重要なテーマの一つが、セキュリティインシデント発生時の対応です。午後試験においてインシデント対応の事例問題は非常に高い頻度で出題されており、問題文は長文で構成され、システム構成・ログ・アラート・登場人物のやり取りが複雑に絡み合います。これらを正確に読み解き、根本原因と適切な対応策を導き出すために最も効果的なアプローチが「時系列の整理」です。本記事では、過去問を軸にインシデント対応の時系列整理の極意を、具体的なステップと実践テクニックとともに解説します。
1. インシデント対応問題の全体像と時系列整理の重要性
インシデント対応問題を解く際、用語の暗記だけでは得点できません。状況を俯瞰し、「何が・どの順番で・なぜ起きたのか」を正確に把握することが求められます。
インシデント発生時のフェーズ分けとは
セキュリティインシデントへの対応は、実務でも試験でも共通のフェーズに沿って進みます。
- 検知・連絡:FWログや利用者申告による異常の把握
- 初動対応(トリアージ):該当端末のネットワーク隔離など被害拡大の防止
- 調査・分析(封じ込め):マルウェアの挙動解析、侵害経路の特定
- 復旧:クリーンな状態への復元とサービス再開
- 事後対応(恒久対策):再発防止策の策定と展開
問題文ではこのフェーズが時系列に沿って描かれます。フェーズごとの目的と実施事項を頭に入れておくことで、「今どの段階の話か」「次にどのアクションが必要か」を予測しながら長文を読み進められます。
たとえば、情報処理安全確保支援士試験 令和5年度春期(2023年春)午後II 問1 では、製造業A社を標的にした攻撃シナリオが出題されました。問題文の前半で「FWのログに不審なアウトバウンド通信が検知された」という検知フェーズが描かれ、後半では感染端末の特定・証拠保全・再発防止策の提案という一連の流れが問われました。フェーズを意識して読めば、問題文の構造が自然と頭に入り、設問と対応する箇所を素早く見つけられます。
なぜ時系列の整理が解答の鍵になるのか
長文の問題文には、日付・時刻・ログエントリ・システム変更の履歴が大量に散りばめられています。これらがバラバラのままでは「なぜ攻撃が成功したか」「どの情報が漏洩した可能性があるか」といった記述問題に答えられません。
時系列を整理することで、点と点だった情報が線として繋がります。「設定ミスがあった日時」→「アラートが上がったが見逃された日時」→「不正アクセスが完了した日時」という因果関係が明確になります。午後試験の設問の大半はこの因果関係を問うものです。「時系列が整理できている=インシデントの全容を理解している」と言っても過言ではなく、解答を導き出す絶対的な土台となります。
情報処理安全確保支援士試験 令和4年度春期(2022年春)午後I 問1 では、ECサイトへの不正アクセスによる個人情報漏洩が題材となりました。「Webサーバのアクセスログに不審なクエリが記録されていた時刻」と「DBサーバから外部IPへの通信が発生した時刻」を突き合わせることで、「SQLインジェクションによりDBへの不正アクセスが行われた」という因果関係を答えさせる設問が出題されています。時系列の整理なしにこの問題を正確に解くことは、事実上不可能です。
過去問における頻出のシナリオパターン
過去問を研究すると、インシデント対応問題には王道シナリオが存在します。代表的なパターンは次の3つです。
- 標的型攻撃によるマルウェア感染と内部探索:不審メール受信→添付ファイル開封→C&Cサーバへの通信確立→横展開→重要データ持ち出し
- 公開Webサーバへの不正アクセスと情報漏洩:脆弱性スキャン→エクスプロイト→Webシェル設置→DB窃取
- クラウド環境の設定不備を突かれたデータ流出:S3バケットの公開設定ミス→クローラーによる発見→大量ダウンロード
令和3年度春期(2021年春)午後I 問2 では、上記1つ目の「標的型攻撃」パターンが出題されました。社員Bが受信した標的型メールの添付ファイルを開封したことを起点に、社内の複数端末への横展開が問われています。このパターンのタイムライン型を事前に知っておくことで、本番でも「これはあのパターンだ」と素早くアタリをつけられ、時系列の整理が格段にスムーズになります。
2. 時系列を整理するための具体的な手順とフレームワーク
時系列整理の重要性を理解したところで、実際の整理手順を解説します。試験時間内で効率的に情報処理するためのフレームワークを身につけましょう。
ログとアラートから「発端」を特定する
インシデント対応問題には、ほぼ必ず「発端(起点)」となる出来事があります。FWやIPS・EDRが発報したアラート、あるいは利用者からの「PCの動作がおかしい」といった申告がそれにあたります。まずこの発端の日時と事象を「絶対的な基準点」として特定します。
基準点を定めたら、過去方向へ遡ることで「いつから攻撃が始まっていたか」「どの脆弱性が放置されていたか」という根本原因を探ります。同時に未来方向へ進むことで「被害がどう拡大したか」「管理者がどう対応したか」を追跡します。ログのタイムスタンプは、この時間軸分析の最も信頼できる道標です。
令和2年度(2020年)情報処理安全確保支援士試験 午後I 問1 では、クラウド上のSaaSサービスへの不正ログインが題材でした。「管理者が不審なログインアラートを受け取った日時」が基準点となり、そこから「攻撃者がパスワードリスト型攻撃を開始した時刻」(過去方向)と「不正ログイン後に設定変更が行われた時刻」(未来方向)を読み解くことが正解への鍵でした。
攻撃者の行動をタイムラインに落とし込む
発端から前後関係が見えてきたら、攻撃者の視点に立って行動をタイムライン上にマッピングします。「XX時にログがあった」とメモするのではなく、「XX時に攻撃者が〇〇の手法でアクセスを試みた」とアクションとして翻訳することが重要です。
たとえばWebアクセスログにSQLインジェクション特有の文字列が連続して記録されていた場合、「10:00~10:05 SQLiの痕跡あり」と書き留めるにとどまらず、「10:00~10:05 攻撃者がDBの構造を把握するための探索攻撃を実施」と意味づけします。この「事象の意味づけ」を行いながらタイムラインを作成することで、攻撃者が何を狙い、どこまで達成したかが明確になります。
令和4年度秋期(2022年秋)応用情報技術者試験 午後 問1(セキュリティ) では、Webアプリへの不正アクセスシナリオで、アクセスログから「攻撃者が管理画面URLを探索している」ことをログの意味づけで読み取る問題が出題されました。単純なログ読解ではなく「攻撃者の意図」を問う形式は近年の傾向であり、意味づけの習慣が得点に直結します。
被害範囲と影響度の特定方法
タイムラインが完成に近づくと、被害範囲の特定が可能になります。どのサーバに侵入されたか、どのDBにアクセスされたか、どのファイルが外部送信されたかは、ログとシステム構成図を照らし合わせることで明らかになります。
特に重要なのが「情報が漏洩した可能性のある期間」の特定です。「不正なプログラムが実行された時刻」から「ネットワークが遮断された時刻」までが、物理的に情報持ち出しが可能だった期間となります。
令和5年度秋期(2023年秋)情報処理安全確保支援士試験 午後I 問2 では、「マルウェアが通信可能であった時間帯に顧客データベースのレコード件数を算出し、漏洩した可能性のある最大件数を答えよ」という問題が出題されました。時系列の整理が正確でなければ「いつからいつまで通信が可能だったか」が確定できず、計算自体に着手できません。タイムラインの精度が得点を直接左右する典型的な設問です。
3. 過去問演習における時系列整理の実践テクニック
実際に過去問を解く際に役立つ、即効性の高いテクニックを紹介します。
問題文のマーキングとメモの取り方
長文を漫然と読んでいては、後から必要な情報を探すだけで時間を浪費します。読み進めながら、日時・登場人物のアクション・システム変更・エラーメッセージなど時系列に関わるキーワードには必ず下線やマーカーを引きましょう。
同時に、問題冊子の余白に手書きのタイムライン図を書き起こすことを強く推奨します。縦軸を時間、横軸をシステム(FW・Webサーバ・DBサーバ・端末など)とし、各時刻にどのシステムで何が起きたかを矢印と短い単語で記入します。この手書きメモが後半の設問を解く際の強力な見取り図になります。綺麗に書く必要はなく、自分が理解できれば十分です。
令和元年度(2019年)情報処理安全確保支援士試験 午後II 問2 は、社内ネットワーク全体を巻き込んだランサムウェア感染が題材で、問題文の長さが特に顕著でした。この問題で高得点を取った受験者の多くが、「横軸:時刻、縦軸:感染が確認されたホスト」というマトリクスをメモ欄に書き起こしていたと報告されています。ログの量が多い問題ほど、図解化の効果は絶大です。
設問から逆算して必要な情報を拾い上げる
午後試験は時間が非常にタイトです。問題文を最初から完璧に精読してから設問に取り組むより、設問を先読みして何を問われているかを把握した上で問題文を読む「逆算思考」が有効です。
「下線部①の対応において、管理者が確認すべきログは何か」という設問があった場合、下線部①の事象が発生した日時付近のネットワーク構成と、該当箇所を通過する通信を記録している機器にアタリをつけて問題文を探します。タイムラインメモがあれば「この時間帯に動いていたのはこのサーバとこのFWだ」と即座に判断でき、該当箇所をピンポイントで拾い上げられます。
令和3年度秋期(2021年秋)情報処理安全確保支援士試験 午後I 問1 では、設問の多くが「〇〇が発生した時刻以降のProxyログを確認した理由を述べよ」という形式でした。設問を先読みして「Proxyログに絞ってマーキングする」という戦略を取った受験者は、同じ問題文を読んでも圧倒的に効率よく解答を導き出せているはずです。
記述式解答へ繋げるための文章構成術
時系列の整理ができたら、採点者に伝わる文章として出力する記述力が必要です。インシデント対応問題における記述解答では、論理的な筋道が最も重視されます。
「なぜ〇〇の対策が必要なのか」を問われた場合、整理した時系列をベースに「X時に△△という事象が発生し、そのままでは□□という被害に繋がるため、〇〇の対策が必要である」という構成で解答します。時系列という確固たる事実に基づいているため、説得力のある解答が自然と生まれます。
令和5年度春期(2023年春)情報処理安全確保支援士試験 午後II 問1 の模範解答を見ると、「〇月〇日〇時にC&Cサーバへの初回通信が確認されており、その後〇時間にわたって外部へのデータ送信が継続していたため、当該期間中に格納されていた顧客情報が漏洩した可能性がある」という形式が高評価を得ています。指定文字数に合わせて余分な修飾語を削り、核となる事実と因果関係だけを簡潔にまとめる練習を積んでおきましょう。
4. 頻出ログの読み方と時系列整理に使えるポイント集
過去問に繰り返し登場するログの種類と、時系列整理に直結する読み方のポイントを整理します。
Webアクセスログ(Apacheなど)の読み方
Webアクセスログには「日時・クライアントIP・HTTPメソッド・リクエストURL・ステータスコード・レスポンスサイズ」が記録されます。時系列整理で注目すべき点は以下のとおりです。
- 同一IPからの短時間での大量リクエスト:ブルートフォースやディレクトリトラバーサルの可能性
- ステータスコード200が続いた後に404が急増:ファイル探索行為の痕跡
- POST通信のレスポンスサイズが異常に大きい:SQLインジェクション成功によるデータ取得の可能性
令和4年度春期(2022年春)午後I 問1 では、まさにこの「POSTリクエストのレスポンスサイズが通常の数十倍になっている時刻」を特定させる問題が出題されました。ログの各フィールドの意味を正確に理解していることが前提となります。
FWログ・Proxyログの読み方
FWログは「送信元IP・宛先IP・ポート番号・許可/拒否」で構成されます。インシデント分析における注目ポイントは次のとおりです。
- 内部IPから外部の非標準ポートへの通信:C&Cサーバへのビーコン通信の可能性
- 大量のDeny記録が突然Allowに変わった日時:FWルールの不正変更の可能性
- Proxyを経由しない直接外部通信の記録:マルウェアによるProxy設定回避
令和3年度春期(2021年春)午後I 問2 では、感染端末が定期的に外部IPへHTTPS通信(443番ポート)を行っていたFWログが示され、「このビーコン通信の開始時刻を特定し、その時刻以降に感染端末が行った可能性のある内部探索行為を答えよ」という複合問題が出題されました。FWログとProxyログを突き合わせて時系列を復元することが正解への鍵でした。
DNSクエリログ・認証ログの活用
近年の過去問では、DNSクエリログや認証ログが補助的な証拠として登場することが増えています。
- DNSクエリログ:ランダムに見えるサブドメインへのクエリが繰り返される場合、DNSトンネリングやDGAマルウェアの兆候
- 認証ログ:短時間に複数のIDで認証失敗が記録された後に成功ログが現れる場合、パスワードスプレー攻撃の可能性
令和5年度秋期(2023年秋)午後I 問2 では、ADサーバの認証ログに「1分間で30件以上の異なるアカウントでの失敗ログ」が記録されていた時刻から「攻撃者が内部探索フェーズに移行した時刻」を特定させる問題が出題されました。複数ログを横断して時系列を組み立てるスキルが、高度な問題を解く上で必須となっています。
まとめ
インシデント対応問題の攻略は、問題文という膨大な情報の海から、時系列という確かな道筋を見つけ出す作業です。
- フェーズを意識する:検知から事後対応までの全体の流れを把握し、問題文のどの段落がどのフェーズかを瞬時に判断する
- 発端を特定し前後を追う:基準点となる事象を見つけ、ログを頼りに過去(根本原因)と未来(被害拡大)を繋ぐ
- 図解・メモ化する:余白に手書きのタイムラインを作成し、視覚的に情報を整理する
- 逆算思考で設問に挑む:先に設問を読み、必要な情報だけを効率よく拾い上げる
- 事実と因果関係で記述する:時系列という根拠に基づき、シンプルかつ論理的な解答文を作成する
令和元年から令和5年にかけての過去問を横断して見ると、出題される攻撃手法のトレンドはクラウド・サプライチェーン・内部不正へと広がっていますが、「時系列整理で全容を把握してから設問に挑む」という解法の本質は一切変わっていません。
時系列整理は、試験合格だけでなく、現場でのインシデントハンドリング能力にも直結する一生モノのスキルです。過去問を繰り返し解きながら、ログの読み方・タイムライン作成・記述構成の3つを体に染み込ませてください。複雑な問題文も、驚くほどクリアに見通せるようになります。