平成21年度 春期 ITパスポート試験 問84 解説 ウイルス感染時の対応

インシデント対応の基本は「隔離」と「報告」

この問題は、ウイルス感染が疑われる事態に直面した際の初動対応を問うものです。正解を導くための判断基準は「被害をこれ以上広げない（封じ込める）」ことと「組織として適切な対応をとる」ことの2点に集約されます。

ウイルス感染疑い時の鉄則

ウイルス感染が疑われる場合、まず第一に行うべきは「ネットワークからの隔離」です。ネットワークにつながったままだと、ウイルスが他のPCへ感染を広げたり、外部のサーバーへ情報を送信したりする恐れがあるからです。

次に重要なのが「専門家（システム管理部門）への報告」です。感染したPCを勝手に操作したり、OSを再インストールしたりすると、ウイルスがどのような挙動をしたのかという重要な「証拠」が消えてしまい、原因究明が困難になります。また、誤った対応によって被害を拡大させてしまうリスクもあります。

なぜ他の選択肢ではいけないのか

選択肢アの「OSの再インストール」は、一見クリーンな状態に戻せるため正しい行動に思えますが、感染原因や被害状況を解明するためのログやファイルがすべて消えてしまうため、組織としての対応手順としては不適切です。

選択肢ウの「現象の再確認」は、感染したPCを使い続ける行為であり、最も危険です。ウイルスを動作させ続けることになり、被害が拡大する恐れがあります。

選択肢エの「社員全員への警告メール」は、混乱を招くだけです。全社的な対応や警告の指示は管理部門が行うべき役割であり、一従業員が独断で判断すべきことではありません。

インシデントレスポンスの現場

この問題は、実務における「インシデントレスポンス（事案対応）」の考え方を問うています。ITパスポート試験では、技術的な知識だけでなく、セキュリティ事故が発生した際に組織の一員としてどう振る舞うべきかという「プロトコル（手順）」が頻出です。

現代の企業では、標的型攻撃やランサムウェアの被害が多発しています。もし自身のPCで不審な挙動が見られた際、慌てて自分で直そうとするのではなく、マニュアルに従ってネットワークを切り離し、すぐに報告する習慣を身につけておくことが、結果として被害を最小限に抑える鍵となります。この問題は、そのような「組織の一員としてのセキュリティ意識」を評価しようとしています。

参考リンク

• 情報セキュリティ事故の対応（初動対応）について
• 【実録】ランサムウェアに感染したときの初動対応はどうするべきか（Qiita）
• NIST Computer Security Incident Handling Guide (SP 800-61 Rev. 2)