インシデント対応
情報セキュリティマネジメント試験「標的型メールへの初動」の問題
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。
ある朝、経理担当のKさんが「取引先からの請求書」と称する添付ファイル付きメールを開いた直後、PCの動作が不審に重くなった。Kさんがまず取るべき最も適切な初動はどれか。
アPCをネットワークから切り離し、N課長へただちに報告する。
イ影響がないことを自分で確かめるため、添付ファイルをもう一度開いて挙動を観察する。
ウ原因が判明するまで誰にも知らせず、いつもどおり業務を続けて様子をみる。
エPCの動作を軽くするため、保存中の業務ファイルを外付けディスクへ退避させる。
正解
ア.PCをネットワークから切り離し、N課長へただちに報告する。
感染疑いの初動は「隔離して報告」。ネットワークから切り離せば他端末への感染拡大や外部への通信を止められ、CSIRTが速やかに調査・対応に着手できる。N課長がCSIRTを兼ねる本事例ではN課長への即時報告が適切。
?選択肢ごとの解説
ア ○感染疑いの初動は「隔離して報告」。ネットワークから切り離せば他端末への感染拡大や外部への通信を止められ、CSIRTが速やかに調査・対応に着手できる。N課長がCSIRTを兼ねる本事例ではN課長への即時報告が適切。
イ ×再度開く行為は感染を進行・拡大させかねず、まず隔離と報告を行う本問の初動として最も不適切である。
ウ ×報告を遅らせると被害が拡大する。速やかに切り離して報告する本問の初動とは相反する対応である。
エ ×感染端末からの持ち出しは感染やデータ流出を広げる危険があり、隔離・報告を優先する本問の初動と矛盾する。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0001
