基本情報技術者試験「インシデント対応」の問題
B社の受注処理を担う基幹サーバ1台がマルウェアに感染していると分析で判明した。このサーバを止めると当日の受注業務が完全に停止するが、稼働を続けると社内の他サーバへ感染が広がる兆候がある。封じ込め段階の対応として、最も適切なものはどれか。
ア受注業務を止めない方を優先し、感染サーバは稼働させたまま、広がった先を見つけ次第その都度手当てする。
イ感染サーバをネットワークから切り離し、受注は手作業や予備系へ振り替えて処理を続ける。
ウ感染源の特定と原因究明を先に完了させ、それが済むまで隔離などの措置は着手しない。
エ感染が未確認のサーバまで巻き込み、社内ネットワーク全体を即時停止して全業務を止める。
正解
イ.感染サーバをネットワークから切り離し、受注は手作業や予備系へ振り替えて処理を続ける。
封じ込め段階の目的は被害の拡大防止である。感染が確認されたサーバをネットワークから隔離すれば他サーバへの横展開を止められる。業務停止の影響は代替手段(手作業・予備系など)へ切り替えて緩和し、拡大防止と事業継続を両立させるのが適切である。
?選択肢ごとの解説
ア ×稼働を続けながら波及先を都度手当てする方法では拡散速度に追いつけず、被害をかえって広げてしまい封じ込めにならない。
イ ○封じ込め段階の目的は被害の拡大防止である。感染が確認されたサーバをネットワークから隔離すれば他サーバへの横展開を止められる。業務停止の影響は代替手段(手作業・予備系など)へ切り替えて緩和し、拡大防止と事業継続を両立させるのが適切である。
ウ ×拡大の兆候があるのに原因究明の完了を待ってから着手すると、調査中に被害が広がり手遅れになる。封じ込めと究明は並行すべきである。
エ ×感染が未確認のサーバまで含めた全停止は業務影響が過大で、隔離で足りる範囲を超えた過剰反応であり比例性を欠く。
✎くわしく
封じ込めは『拡大防止』と『業務影響の最小化』のトレードオフを判断する段階である。確認された感染源をピンポイントで隔離し、業務は代替で継続するのが基本。全停止は最終手段であり、被害範囲に見合った比例的対応が求められる。
✓本番での押さえどころ
試験のコツ
封じ込めは『確認された感染源を隔離しつつ業務は代替で継続』。稼働継続も全停止も避けるのが定石。
覚え方
封じ込めは『燃えている部屋だけ閉める』。家全体を壊さず、業務は別室で続ける。
よくある誤り
業務優先で稼働を続ける(拡大)か、安全側に振り切って全停止する(過剰)かの両極端を選ぶ。確認された範囲の隔離+代替継続という中庸を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0122