問題
マルウェア感染時の初動対応の正しい順序は何か。
選択肢
- 1ネットワーク隔離→証拠保全→感染範囲調査→駆除復旧→再発防止
- 2業務続行
- 3即フォーマット
- 4ネットワーク永久停止
正解
1. ネットワーク隔離→証拠保全→感染範囲調査→駆除復旧→再発防止
詳しい解説を見る解説を閉じる
解説
マルウェア感染時の初動対応は、①ネットワークからの隔離(LANケーブル抜線・無線LAN切断)で他端末への感染拡大を防ぎ、②ログやメモリなどの証拠保全を行い、③感染範囲と侵入経路を調査し、④駆除・復旧を実施し、⑤再発防止策を講じる、という順序が正しい。最優先は被害拡大の防止であるため隔離が先頭に来る。誤答肢の業務続行は感染を広げる最悪の対応であり、即フォーマットは復旧を急ぐあまり原因究明に必要な証拠(フォレンジック情報)を消してしまう誤り、ネットワーク永久停止は過剰で業務継続を損なう。「隔離が先、初期化は証拠保全と調査の後」がインシデント対応の鉄則であり、対応を担う組織であるCSIRTの役割と併せて科目Bで頻出のテーマである。
一問一答
科目A 180問+科目B 60問