FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:A社の端末で、EDRが不審な外部通信と認証情報窃取の疑いを検…
問題
A社の端末で、EDRが不審な外部通信と認証情報窃取の疑いを検知した。端末内には原因調査に必要なログやメモリ上の情報が残っている可能性がある。情報システム部門は、被害拡大の抑止と証拠保全を両立した初動対応を求めている。
最初に行う対応として、最も適切なものはどれか。
- ア 利用者の判断でウイルス対策ソフトを削除し、端末を再起動する。
- イ 端末をネットワークから隔離し、時刻・表示内容・検知内容を記録して、定められた窓口へ報告し指示を受ける。(正解)
- ウ 証拠を消さないため、外部通信を続けたまま放置する。
- エ SNSに画面写真を投稿して助言を求める。
- オ すぐに初期化してから後で報告する。
正解と解説
正解:端末をネットワークから隔離し、時刻・表示内容・検知内容を記録して、定められた窓口へ報告し指示を受ける。
初動では、被害拡大を防ぐためにネットワークから隔離しつつ、調査に必要な情報を不用意に消さないことが重要です。
再起動や初期化は揮発性情報や証拠を失う可能性があります。放置は被害拡大を招き、SNS投稿は情報漏えいにつながります。
Hardでの見抜き方:初動では、被害拡大防止と証拠保全の両立が重要です。自己判断で初期化・再起動すると証拠が消える可能性があり、放置すると外部通信が続きます。
追加の確認:一見有効そうな補助策と、原因を直接取り除く対策を区別しましょう。運用上の注意喚起や表示変更だけでは、攻撃経路や権限不備そのものは残るため、根本原因に対応する選択肢を選びましょう。
「隔離」と「電源断」の違い:正解のイが「ネットワークからの隔離」にとどめている点が要です。電源を切ると、メモリ上にしか存在しない通信状態や復号鍵などの揮発性情報が消えてしまいます。通信経路だけを断てば横展開を止めつつ証拠を保てるため、被害抑止と証拠保全を両立できるのです。
他の選択肢はなぜ違う?
- ア対策ソフトの削除と再起動は揮発性の証拠を失う。
- ウ外部通信を続けたまま放置すると被害が拡大する。
- エSNS投稿は情報漏えいにつながる。
- オすぐ初期化すると調査に必要な情報を失う。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。