インシデント対応

情報セキュリティマネジメント試験標的型メールへの初動」の問題

情報セキュリティ管理インシデント対応難易度:normal
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。 ある朝、経理担当のKさんが「取引先からの請求書」と称する添付ファイル付きメールを開いた直後、PCの動作が不審に重くなった。Kさんがまず取るべき最も適切な初動はどれか。
PCをネットワークから切り離し、N課長へただちに報告する。
影響がないことを自分で確かめるため、添付ファイルをもう一度開いて挙動を観察する。
原因が判明するまで誰にも知らせず、いつもどおり業務を続けて様子をみる。
PCの動作を軽くするため、保存中の業務ファイルを外付けディスクへ退避させる。
正解
PCをネットワークから切り離し、N課長へただちに報告する。

感染疑いの初動は「隔離して報告」。ネットワークから切り離せば他端末への感染拡大や外部への通信を止められ、CSIRTが速やかに調査・対応に着手できる。N課長がCSIRTを兼ねる本事例ではN課長への即時報告が適切。

?選択肢ごとの解説

ア ○感染疑いの初動は「隔離して報告」。ネットワークから切り離せば他端末への感染拡大や外部への通信を止められ、CSIRTが速やかに調査・対応に着手できる。N課長がCSIRTを兼ねる本事例ではN課長への即時報告が適切。
イ ×再度開く行為は感染を進行・拡大させかねず、まず隔離と報告を行う本問の初動として最も不適切である。
ウ ×報告を遅らせると被害が拡大する。速やかに切り離して報告する本問の初動とは相反する対応である。
エ ×感染端末からの持ち出しは感染やデータ流出を広げる危険があり、隔離・報告を優先する本問の初動と矛盾する。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0001

【情報セキュリティマネジメント試験】標的型メールへの初動の問題と解答・解説|ukamiru 過去問