FE SUBJECT B
基本情報技術者 科目Bの問題解説
問題
A社の端末で,EDRが不審な外部通信と認証情報窃取の疑いを検知した。端末内には原因調査に必要なログやメモリ上の情報が残っている可能性がある。情報システム部門は,被害拡大の抑止と証拠保全を両立した初動対応を求めている。
最初に行う対応として,最も適切なものはどれか。
- ア 利用者の判断でウイルス対策ソフトを削除し,端末を再起動する。
- イ 端末をネットワークから隔離し,時刻・表示内容・検知内容を記録して,定められた窓口へ報告し指示を受ける。
- ウ 証拠を消さないため,外部通信を続けたまま放置する。
- エ SNSに画面写真を投稿して助言を求める。
- オ すぐに初期化してから後で報告する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:端末をネットワークから隔離し,時刻・表示内容・検知内容を記録して,定められた窓口へ報告し指示を受ける。
正解:イ
初動では,被害拡大を防ぐためにネットワークから隔離しつつ,調査に必要な情報を不用意に消さないことが重要である。
再起動や初期化は揮発性情報や証拠を失う可能性がある。放置は被害拡大を招き,SNS投稿は情報漏えいにつながる。
Hardでの見抜き方:初動では,被害拡大防止と証拠保全の両立が重要である。自己判断で初期化・再起動すると証拠が消える可能性があり,放置すると外部通信が続く。
追加の確認:一見有効そうな補助策と、原因を直接取り除く対策を区別する。運用上の注意喚起や表示変更だけでは、攻撃経路や権限不備そのものは残るため、根本原因に対応する選択肢を選ぶ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。