情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
B社の受注処理を担う基幹サーバ1台がマルウェアに感染していると分析で判明した。このサーバを止めると当日の受注業務が完全に停止するが、稼働を続けると社内の他サーバへ感染が広がる兆候がある。封じ込め段階の対応として、最も適切なものはどれか。
受注業務を止めない方を優先し、感染サーバは稼働させたまま、広がった先を見つけ次第その都度手当てする。
感染サーバをネットワークから切り離し、受注は手作業や予備系へ振り替えて処理を続ける。
感染源の特定と原因究明を先に完了させ、それが済むまで隔離などの措置は着手しない。
感染が未確認のサーバまで巻き込み、社内ネットワーク全体を即時停止して全業務を止める。
正解
感染サーバをネットワークから切り離し、受注は手作業や予備系へ振り替えて処理を続ける。

封じ込め段階の目的は被害の拡大防止である。感染が確認されたサーバをネットワークから隔離すれば他サーバへの横展開を止められる。業務停止の影響は代替手段(手作業・予備系など)へ切り替えて緩和し、拡大防止と事業継続を両立させるのが適切である。

?選択肢ごとの解説

ア ×稼働を続けながら波及先を都度手当てする方法では拡散速度に追いつけず、被害をかえって広げてしまい封じ込めにならない。
イ ○封じ込め段階の目的は被害の拡大防止である。感染が確認されたサーバをネットワークから隔離すれば他サーバへの横展開を止められる。業務停止の影響は代替手段(手作業・予備系など)へ切り替えて緩和し、拡大防止と事業継続を両立させるのが適切である。
ウ ×拡大の兆候があるのに原因究明の完了を待ってから着手すると、調査中に被害が広がり手遅れになる。封じ込めと究明は並行すべきである。
エ ×感染が未確認のサーバまで含めた全停止は業務影響が過大で、隔離で足りる範囲を超えた過剰反応であり比例性を欠く。

くわしく

封じ込めは『拡大防止』と『業務影響の最小化』のトレードオフを判断する段階である。確認された感染源をピンポイントで隔離し、業務は代替で継続するのが基本。全停止は最終手段であり、被害範囲に見合った比例的対応が求められる。

本番での押さえどころ

試験のコツ

封じ込めは『確認された感染源を隔離しつつ業務は代替で継続』。稼働継続も全停止も避けるのが定石。

覚え方

封じ込めは『燃えている部屋だけ閉める』。家全体を壊さず、業務は別室で続ける。

よくある誤り

業務優先で稼働を続ける(拡大)か、安全側に振り切って全停止する(過剰)かの両極端を選ぶ。確認された範囲の隔離+代替継続という中庸を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0122

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問