ITパスポート 令和4年度 問100:情報セキュリティ・インシデント対応に関する問題
社内に設置された無線LANネットワークに接続している業務用のPCで、インターネット上のあるWebサイトを閲覧した直後、Webブラウザが突然終了したり、見知らぬファイルが作成されたりするなど、マルウェアに感染した可能性が考えられる事象が発生した。このPCの利用者が最初に取るべき行動として適切なものはどれか。
- aWebブラウザを再インストールする。
- bマルウェア対策ソフトのマルウェア定義ファイルを最新にする。
- c無線LANとの通信を切断し、PCをネットワークから隔離する。正答
- d無線通信の暗号化方式を変更する。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c「ネットワークから切り離す(隔離する)」 です。
ウイルスに感染したかも、というときに一番こわいのは「ほかのパソコンにうつる」「外に情報が送られる」こと。だからまず最初にやるのは、通信を止めて1台だけ孤立させること。風邪をひいた人がうつさないよう、すぐ別室に移るのと同じです。
👉 覚え方:感染かも?=まず線を抜く(つながりを切る)。原因さがしや修理はそのあと。
ほかの選択肢:a ブラウザ再インストール=直すのは後/b 定義ファイル更新=対策の準備だが、まず隔離が先/d 暗号化方式の変更=今の感染とは関係ない。
なぜこれが正解か
正解は c。マルウェア感染が疑われたら、被害拡大を防ぐため最初に行うべきは通信の遮断とネットワークからの隔離。これにより、他端末への感染拡大・外部への情報流出(情報送信やC&Cサーバとの通信)・遠隔操作を止められる。インシデント対応の初動の鉄則「封じ込め(containment)」に当たる。
各選択肢の解説
- a Webブラウザの再インストール:根本対処にならず、感染原因の調査前に環境を変えると証拠も失う。初動ではない。
- b マルウェア定義ファイルの最新化:対策ソフト更新は有効だが、感染拡大中に通信したまま行うのは順序が逆。隔離が先。
- d 暗号化方式の変更:無線の盗聴対策であり、今回のマルウェア事象とは無関係。
覚え方・ひっかけ注意
インシデント初動は 「①隔離 → ②調査・特定 → ③駆除・復旧 → ④報告」 の順。「最初に取るべき行動」と問われたらまず隔離と即答。b(定義更新)やa(再インストール)は“それっぽい正解”に見える引っかけで、順番が後である点に注意。
理論的背景
マルウェアインシデントへの初動対応は、NIST SP800-61「Computer Security Incident Handling Guide」やJPCERT/CCのインシデントハンドリングガイドで体系化されている。標準的なフェーズは「①準備(Preparation)→ ②検知・分析(Detection & Analysis)→ ③封じ込め(Containment)→ ④根絶(Eradication)→ ⑤復旧(Recovery)→ ⑥事後対応(Post-Incident Activity)」だ。感染疑いが生じた瞬間から最優先となる行動は③封じ込めで、その具体策がネットワーク隔離(本問の正解c)だ。隔離の目的は複数ある——他端末への横展開(ラテラルムーブメント)防止・外部C&Cサーバへのビーコン通信遮断・感染拡大と情報流出の同時阻止——であり、これらを最小限の行動で達成できる唯一の初動措置が通信の切断だ。本問の「無線LANとの通信を切断しPCをネットワークから隔離する」はその原則通りの対応だ。
実務での使われ方
実際のインシデント対応では隔離方法の選択も重要だ。「電源はすぐに切るな」がセキュリティ専門家の鉄則となっており、シャットダウンするとRAM上の揮発性情報(実行中プロセスの一覧・ネットワーク接続の状態・暗号鍵・一時ファイル)が消えてしまい、マルウェアの種類特定や感染経路調査(フォレンジック)に支障が出る。理想的な初動は「LAN抜き・Wi-Fiオフ(通信のみ切断)→CSIRT(Computer Security Incident Response Team)へ報告→証拠保全(メモリダンプ・ログ確保)→マルウェア解析→駆除」の順だ。企業のセキュリティオペレーションセンター(SOC)ではEDR(Endpoint Detection and Response)が自動検知・自動隔離機能を持ち、人間の判断を待たずにネットワークから切り離すことができる。
試験での位置づけ
ITパスポートのセキュリティ分野で「インシデント発生時の最初の行動」は定番問題だ。本問のように「最初に取るべき行動」という問い方に対しては、答えは原則「封じ込め(隔離)」であり、その後の調査・修復・報告は順序が後となる。近年はランサムウェア感染を題材にした出題も増えており、「暗号化が始まったらまずネットを切る」という初動が繰り返し問われる。関連語として、CSIRT・SOC・EDR・SIEM(ログ相関分析ツール)・脅威インテリジェンスを押さえると、インシデント対応の全体像が理解できる。基本情報技術者・情報セキュリティマネジメント試験では、インシデント対応の各フェーズの役割・組織体制(CSIRT・SOCの機能の違い)・証拠保全の法的要件まで踏み込んだ出題がある。
選択肢の発展補足
選択肢a(Webブラウザの再インストール):感染源がブラウザ経由であったとしても、ブラウザのみを再インストールしても根本的な除去にならない。マルウェアはすでにシステム全体に拡散している可能性があり、ブラウザを再インストールしたところで他のプロセスとして動き続ける。また調査前に手を加えることで証拠を破壊する恐れもある。選択肢b(マルウェア対策ソフトの定義ファイルを最新にする):定義ファイルの更新は感染後の除去ステップとして有効だが、「最初に取るべき行動」ではない。感染中にネットワーク接続を維持したまま定義ファイルを更新しようとすると、その間もマルウェアが活動を継続し被害が拡大する。隔離後に定義ファイルを更新して検査する順番が正しい。選択肢d(無線通信の暗号化方式を変更):無線LANのWPA3への変更等は今後の盗聴防止には有効だが、すでに感染したマルウェアの活動を止める効果はない。暗号化方式の変更はセキュリティ強化の施策であり、インシデント初動の文脈では的外れな選択肢だ。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和4年度 問100/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。