問題
D社では、マルウェア感染時のインシデント対応として最も適切な手順はどれか。
選択肢
- 1ア 感染PCでの業務を続行し、様子を見る
- 2イ ネットワークから隔離→証拠保全→感染範囲調査→駆除と復旧→再発防止策
- 3ウ 感染PCを即座にフォーマットする
- 4エ 全社ネットワークを永久停止する
正解
2. イ ネットワークから隔離→証拠保全→感染範囲調査→駆除と復旧→再発防止策
詳しい解説を見る解説を閉じる
解説
マルウェア感染時のインシデント対応は、まず感染端末をネットワークから隔離して他の端末への拡散を防ぎ、次に調査に備えてログやディスクの状態などの証拠を保全(フォレンジック)し、感染範囲を調査したうえで駆除と復旧を行い、最後に原因分析に基づく再発防止策を実施する、という流れが適切である。よってイが正解である。アの業務続行は感染拡大や情報流出を放置する最悪の対応である。ウの即時フォーマットは一見復旧を早めるようだが、原因究明や影響範囲の特定に必要な証拠を消してしまうため不適切である。エの全社ネットワークの永久停止は事業継続を損なう過剰な対応である。頻出ポイント:「隔離が先、初期化は証拠保全の後」という順序が最重要で、CSIRTの対応フェーズ(検知→封じ込め→根絶→復旧→教訓)も頻出である。
一問一答
科目A 180問+科目B 60問