FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:A社はファイルサーバを毎晩バックアップしているが、バックアッ…
問題
A社はファイルサーバを毎晩バックアップしているが、バックアップ領域は常時ネットワーク共有として接続されている。ランサムウェア感染時、最新バックアップだけでなく複数世代のバックアップも暗号化された。復旧手順のテストも長期間行われていない。
再発防止と復旧性向上のために、最も適切なものはどれか。
- ア バックアップのファイル名を推測しにくくする。
- イ 複数世代のバックアップを保持し、一部をオフライン又は変更不能な領域に保管し、定期的に復元テストを行う。(正解)
- ウ バックアップ取得時刻を夜から昼に変更する。
- エ バックアップサーバの画面ロック時間を短くするだけにする。
- オ 感染後に暗号化されたファイルを同じ領域へ上書きバックアップする。
正解と解説
正解:複数世代のバックアップを保持し、一部をオフライン又は変更不能な領域に保管し、定期的に復元テストを行う。
ランサムウェアではオンライン接続されたバックアップも暗号化されます。複数世代を保持し、一部をオフライン又はイミュータブルにする必要があります。
バックアップがあっても復元できなければ意味がないため、復元テストも重要です。
Hardでの見抜き方:バックアップがオンラインで常時接続されていると、本番データと一緒に暗号化され得ます。複数世代、オフライン又は変更不能保管、復元テストをセットで考えましょう。
追加の確認:一見有効そうな補助策と、原因を直接取り除く対策を区別しましょう。運用上の注意喚起や表示変更だけでは、攻撃経路や権限不備そのものは残るため、根本原因に対応する選択肢を選びます。
なぜ世代保持だけでは防げなかったか:この事例で複数世代まで暗号化されたのは、バックアップ領域が常時ネットワーク共有として接続され、感染端末から到達できたためです。世代を増やしても同じ経路上にある限り一括で被害に遭います。だからこそ媒体・場所・経路を本番から切り離すオフライン保管やイミュータブル領域が要となり、いわゆる3-2-1ルールのように複製先を物理的・論理的に分離することが根本対策になります。
他の選択肢はなぜ違う?
- アファイル名の難読化はランサムウェアによる暗号化を防げない。
- ウ取得時刻の変更は復旧性と無関係。
- エ画面ロック時間の短縮だけでは、常時接続バックアップの暗号化を防げない。
- オ暗号化済みファイルの上書きバックアップは正常データを失わせる。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。