令和5年春期試験 午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。

物理対策こい！

最後の問題だけ自信ないですね
保管方法に関係する話ないじゃんってなりました

何でもない記号ミスしたのでちょっと萎えてます...

社外に持ち出さずに社内に保管というふわふわ回答しました笑

バックアップ時以外は社内LANから切断しておくみたいなの書いときました。
バックアップデータまでネットワーク通じてマルウェアの影響喰らったらやばいよね！みたいな感じで…。
分かりませんが…。

バックアップ後ネットワークから切断する(?)にしましたが自信なし
今思えばpcから取り外すって書けば良かった

同じく、『バックアップ時以外はネットワークから切り離して保管する』みたいな回答をしました

どこにも書いてなかったけど、
「鍵付きのキャビネットの中に入れる」って書きました。

不要な持ち出しはせず、鍵をかけて保管
って書いたような

バックアップ保管の問題についてはどうとでも取れるんだよねぇ...
マルウェアの被害を想定して「普段は社内ネットワークから切り離す」でも正解そうだし、冒頭に記載のあった個人情報保護なんたらを意識して「個人情報に配慮した保管方法を取る」みたいな解答でも正解に見える...

保管場所への入退室管理を常時行う、にしました

ウ
５
５
ウ
イ
アウ
ア
記憶媒体を社外へ持ち出さない

保管方法は迷いました。

最後の問題は記録媒体と不振な通信を行わないと答えました。全従業員が実施すべき訓練、アにしましたけどよく分からなかったです

ネットワークから切り離して管理と書きました

サイバーキルチェーンのは4にしました。
感染したのは1人なので組織のPCまではいかないんじゃないかな

『記憶媒体にロックをかけて保管する』と回答しました。
あんまりイケてない回答だと思います。

ウ
5
5
イ
イ
3、6、6
ア、ウ
ア
社内ネットワークから切り離して保管する

ウ
５
５
イ
イ
3,6,5
アウ
鍵等でアクセスが管理される場所に保管する

記述は個人情報管理の観点から書きました。

2(2)イ：EDR ですかね？
私はウにしてしまいました

訂正
誤)3、6、6
正)3、6、5

ウ
5
5
イ
イ
3,6,5
アウ
ア
鍵のついた保管庫で保管する

これにしました！

①(1)ウ
   (2)5
②(1)5
   (2)イ
③(1)イ
   (2)b:3
        c:6
        d:5
   (3)アウ
④(1)ア
   (2)バックアップ時以外はネットワークから
      切り離して保管する

最後の記述は、記録媒体が切り離し可能なことが問題にも書いてあるので、ネットワークから分離するのは前提かと。よって、「鍵付きの部屋や棚で保管する」と回答しました。（正解であれ）

UTMはネットワーク上で機能する機器であって、個別のPC上で動作するわけではないのでEDRが正解だと思います

保管方法はpcから取り外して保管するにしました
バックアップデータまで暗号化されたら元も子もないよねっていう出題意図かと思いました！

過去問みるとUSBとかの記録媒体は使用禁止or持ち出し禁止みたいなケースが多いから「社外に持ち出さず、社内で保管する」みたいにしました

セキュリティルームに保管って書きました

ウ
項番5
項番5
イ
イ
(b)3(c)6(d)5
ア,ウ
ア
鍵のかかるキャビネットに保管する。

設問1 (1)ウ  (2)5
設問2 (1)5  (2)ア
設問3 (1)イ  (2)b:3 c:?(メモ忘れ) d:5  (3)ア、ウ
設問4 (1)ア  (2) 不要な持ち出しはせず、鍵をかけて保管

②(2)挙動監視はわからんでした。。

最後の記述は、
資産目録として随時更新して管理する
とかとんちんかんな答え書いてしまった...
他は皆さんと同じですね...

バックアップ時以外はネットワークから切り離す的なことを書こうと思ったら字数制限でかけず、ネットワークから切り離して保管すると書きました

バックアップ時以外はネットワークから切り離す、と書きたいところでしたが、字数が20字と短いことから、社外へ持ち出さないにしました

ウ
５
５
イ
イ
アウ
ア
鍵つきの堅牢な保管庫に保管する

設問3(3)をア、ウ、エとしてしまったのですが、
エが間違ってる理由ってなぜですか？

最後の記述、訳も分からず「暗号化して保管し必要な時だけ複合して使う」みたいなこと書きました。何もかすってなさそうで爆死です…

設問1: (1)ウ (2)5
設問2: (1)5 (2)イ
設問3: (1)ウ (2)b: 3 c: 6 d: 5 (3)ア ウ
設問4: (1)ア (2)社外に持ち出さず、施錠できる所で保管する

ウ
6（みんな5にしてるけど、暗号化されてるから攻撃受けてない？）
5
イ
イ
4,6
5
ア、ウ
ア
鍵付きのキャビネットの中に入れる。

サイバーキルチェーンの項番は自分も6ですねw
なんか画面に表示された?って言ってたので、攻撃されてるかなと思って。遠隔操作にしては優しいけどw

PCから取り外し、安全な場所で保管する。(20字)

2パターンに対応はしてるけど、もっと細かく描きたかった

設問1(2)は、本文中に「インターネットに向けて不審な通信が行われた痕跡はなかった」とあるので、6のC&Cサーバとの通信は完了してないんじゃないですかね？

この投稿は投稿者により削除されました。(2023.04.16 18:22)

1.(1)ウ
  (2)5
2.(1)5
  (2)イ
3.(1)イ
  (2)b4 c3,d5
  (3)ア・ウ
4.(1)ア
  (2)ネットワークから隔離して保管する

3.(2)はやらかしました、4なわけない。bc順不同だといいな
4.(2)は悩ましいところですが...

バックアップ時に〜だとファイルリストア時が
含まれないと思ってPCから取り外すにしました。

必要時以外はPCから取り外して保管と書きたかったです。

設問1: (1)ウ (2)5
設問2: (1)7 (2)ウ
設問3: (1)イ (2)b: 3 c: 6 d: 7 (3)ア ウ
設問4: (1)ウ (2)R社RANから切り離して保管する

トリアージってなんだ？と思いながら選択してしまった。
知らないものは選ばないほうが良かったな。

最後の問題は社内LANから切り離すとしてましたが、取り外し出来る記憶媒体と書いてあったので、社内LANから、切り離してるのは前提と思い、個人情報うんたらと記載があったので、秘密区分に分けてうんたらと回答してしまいました。。

設問1: (1)ウ (2)5
設問2: (1)5 (2)ウ
設問3: (1)イ (2)b: 3 c: 6 d: 5 (3)ア ウ
設問4: (1)ア (2)ネットワーク、PCには接続しない

(3)にエを含めるか悩んだけどどうでしょう？

技術的などうこう書いてあったからエは入れなかったですね

設問4（2）資産管理台帳に記録して管理する。

みんなEDRですね…聞いたことないからUTMにしてしまいましたが、確かに用途が違いますね…
間違えたorz

最後は使用時以外PCと接続しないにしました。
ネットワーク[社内LAN]から切り離すだと、設問1(1)と被るから違うかなと思いました。(自信なし)

エを入れるかどうかは標的型攻撃を考慮するかによると思います。
私は入れました。

キルチェーンは6までにしました。
ファイルが暗号化されているので、遠隔操作されていると考えました。
Sさんが攻撃対象組織では無い場合は5まで？

保管方法は、
バックアップ時以外は取り外して保管する。
としました。

サイバーキルチェーンは"PC-Sから、インターネットに向けて不審な通信が行われた痕跡はなかった"とあるので、マルウェアとC&Cサーバの通信はされておらず5までかと思います。

設問4(2)
個人情報保護法に準じた方法で保管する。
と回答してしまいました...

設問1(1)ウ (2)5
設問2(1)7 (2)イ
設問3(1)イ (2)b:3 c:6 d:7 (3)ア、ウ
設問4(1)ア (2)会社内の鍵付きロッカー等で保管する

見返したら2(1)絶対5だ……。あああ。

サイバーキルチェーンはかなり迷いました。
ランサムウェアの性質を考えるとマルウェアが入った時点で目的達成してる気がしたので7かなと最初思いましたが、問題文に通信が行われてなかったりの記述があることから、5で答えてほしいのかなと考えて5にしました。

皆さま長丁場の試験お疲れ様でした。

サイバーキルチェーンは4ですね。

インターネットに向けた通信のログはありません。

攻撃対象の“組織”のpcを感染させているならc &cサーバと不審通信しているはずです。

PC-Sが他のpcのup アドレスをスキャンしていないのも根拠です。

文章下手で申し訳ないです。

Ipアドレスですね。。

個人的には「被害企業の業種を知ったところであんま意味ないよなぁ...」と思ったからエは未選択

標的型攻撃は被害企業の業種が分かっても対策できない(どちらかと言うと被害企業と自社が取引があるか等の情報を調べるべき)し、技術的対先を行うために必須な情報ではないと思うんだよね

サイバーキルは5じゃないんかなぁ
ランサムウェアに感染したPCは、組織(R社)から支給されてるものだし。
組織から支給されたPCを、組織のPCとみなさないなら4だろうけど

確かにR社LAN上のIPアドレスをスキャンした痕跡はなかったっていう記載があるとこ見ると正解は4っぽいですね

EDR1なんかどこで知るんだ。。。
UTMと２宅で迷ったけど、、、知らんし
最後も答えがふわっとしてる問題どうなん
感染の疑いのある外付けHDだとわかるよう保管するとなん

ただ身代金を要求するメッセージが表示されてるってことは攻撃コードが実行されてるととも取れるから5でも正解な気がしないでもない。こういう微妙な問題やめてほしいなあ。

設問1
(1)ウ (2)5

設問2
(1)7 (2)イ

設問3
(1)イ (2)b:3 c:6 d:5 (3)ア、ウ

設問4
(1)ア (2)社内ネットワークから切り離して保管する

サイバーキルチェーン、４の方がいて少し安心です（正解かは分かりませんが、）
問３の（d）を７って書いちゃったのが悔しい
５の改善策まで見ずに決めちゃいました。

最後はわざわざ取り外しできるって書いてあるから、それ書きました

バックアップ取得後は取り外して保管する。

設問1
(1)ウ
(2)5 ←「PC-Sにインストールされた」と記述されています
設問2
(1)5
(2)イ
設問3
(1)イ
(2)b-3,c-6,d-5
(3)ア,ウ
設問4
(1)ア
(2)R社LANから切り離して保管する

サイバーキルチェーンは5です。インターネットに向けての不審な通信はなかったとありますのでC&Cサーバとの通信を行っていません。

適切な保管方法については第三者が持ち出せないところに保管というようなことを書きました。保管状態な時点でネットワークから切り離されているという感覚なのでそれくらいしか思いつきませんでした。

設問1
(1)ウ
(2)5
設問2
(1)5
(2)イ
設問3
(1)イ
(2)b-3,c-6,d-5
(3)ア,ウ
設問4
(1)ア
(2)施錠管理できる場所に保管する

サイバーキルチェーンの問いは、ファイルが暗号化されてしまった、という実被害が出ている点はどうなんでしょう？

ファイルを暗号化したのが誰なのかが分からないので、、、
ってことでしょうかね
5or6で迷いましたが悪い方のもしもを想定して6にしました
5なのかなぁ

この投稿は投稿者により削除されました。(2023.04.17 01:09)

今のところはっきりミスったのは用語問題2問だけです。。

以下ただのぼやきです。
この用語、応用午後のおそらく計4点も割くほど重要語なんですかね？そういうのは基本とか午前でよくね？とおもうのですが…

運要素排除のため記述させるとか、午前でも一部あったように英単語略さず載せるとか、応用午後ならではの問い方があるとおもうんですよね。

配点は問3(2)bcと(3)完全解答として2点ずつとかですかね？

設問1
(1)ウ
(2)5
設問2
(1)5
(2)イ
設問3
(1)イ
(2)b-3,c-6,d-４
(3)ア,ウ
設問4
(1)ア
(2)持ち出しの際のルールを決めておく

設問3(2)dは標的型攻撃が組織を狙った攻撃なら、同じ組織の会社も狙われる可能性が高いということから、社内外で新たな脅威について連絡するのかな？と考えました。。
設問４（２）は取り外し可能という根拠から、
LANから切り離す派、不用意に持ち出さない派で割れてますね。
持ち出さない、とはっきり書くべきだったかも。。

他の人の回答見てると自信無くなるな～。
誰だ～簡単だなんて言ってる奴～。

項番を答える問題で、解答欄に数字のみではなく「項番5」のような書き方をしたら減点の対象になるのでしょうか。。。皆さん数字だけ書かれているので。。。

APのセキュリティの解答について検討してみました。宜しければご参考までに。
設問1 (1)ウ (2)７
設問2 (1)５ (2)イ
設問3 (1)イ (2)ｂ-３、ｃ-６、ｄ-５ (3)ア、ウ
設問4 (1)ア (2)バックアップ取得後はPCから取り外して保管する。

注）
設問1 (2)７
攻撃の目的は身代金の要求なので、目的の実行の項番７と判断しました。
「代表的な攻撃の事例」はあくまで例なので、文言に惑わされないようにすることが
ポイントと判断しました。

設問4 (2)
記憶媒体はネットワークではなくPCに直接接続するものと判断しました。
そのため、ネットワークから切り離すではなく、PCから取り外すにしています。
保管方法についてですが、施錠等の文言は文中にないので、記述は避けました。

資格部のサイトで解答速報出ましたね！

この投稿は投稿者により削除されました。(2023.04.17 18:03)

解答速報みると、設問3(2)のd.を「7」で外した以外は合ってたので、とりあえず安心
ただ最後の問は「紛失防止及び盗難対策を行う」と書きましたので、何点くれるか。

コメント見ると、ウイルス対策寄りの解答で「１.PCから取り外して運用」と答えるか、「２.セキュリティの高い保管場所に収納」と答えるかで分かれているようですね。

問の文章も意地が悪く、「適切な保管方法を答えよ」としか書いていません。言葉のアヤですが、「適切な運用方法」と聞かれれば１.で解答しますが、「保管方法」なので２.にしました。

施錠とは言うけど据え置きのHDDならそう
でも今回のって日常的に使うUSBメモリ的な奴よね？
利用履歴を残すとか持ち出し禁止とかの方が正しいような…

ごめんなさい。

サイバーキルチェーンは5ですね。

自信満々で間違えていました。。

某2サイトの解答例によると、『鍵付きの保管場所で保管する』との事、、
ネットワークから切断して保管で部分点はいらないかな

ネットワークから切り離して保管だと持って帰ってもOKと受け取れるので、個人情報の保管の仕方としては不適切であると思われます。

小魚BOYさんに同意です。
今回は保管方法を聞いているので、取り外し可能なUSBとかをどこに置くかが問題な気がします。

設問3(2)
b:3
c:6
d:7(正解はおそらく5)

上記の場合、b,c,dにそれぞれ配点もらえるのか、
全部正解して配点がもらえるのでしょうか

台帳管理して、施錠できる場所に保管する  とかがいいんだろうか。

サイバーキルチェーンの問題に関してですが、回答速報を見ても5が多いように思います。
ですが、ファイルは暗号化されており、インターネットとの痕跡はマルウェアから外部に向けての通信がなかったとの記述しかありません。
C&Cサーバからの操作でファイルを暗号化したが、外部への通信は行われていないということで6が適切では無いのでしょうか？

サイバーキルチェーンの問題について、ファイルの暗号化はC&Cサーバからによるコマンドではなく、マルウェアそのものの実行、感染によるものだと思います
また、C&Cサーバと通信するには必ず感染したPCから先に発信しないといけないはず (C&Cサーバから感染したPCが特定できないため、一方的にコマンドを送ることは不可能) なので、5が妥当かなって思いました

①マルウェアを電子メール経由で受け取る（直接通信していない）
②マルウェアがC＆Cサーバーに向けて通信する（外部に送信する必要あり
③遠隔操作

という順番であれば、暗号化が遠隔操作によるものであれば、必ず外部と通信するのではないかと思うのですが。（TCPの通信確立時に外部に通信する）

わたしも説明があっているか分からないので、マスターの方お願いします。

いちおう説明いたします。間違っている可能性もあるので、その点はご容赦ください。

表1「サイバーキルチェーンの攻撃の段階」の「代表的な攻撃の事例」ですが、
この事例は情報流出型マルウェアの特徴を示しています。

本問のマルウェアはランサムウェアであるため、この特徴に完全には一致しません。
ランサムウェア自体は自立して動作が可能なため、項番6は省略可能と思われます。
ランサムウェアのサイバーキルチェーンの段階は身代金の要求を実行した段階で
「目的の実行」段階まで完了しています。

確かにランサムウェアの主目的としては身代金の要求ですが、近年では身代金を支払わないことで外部に情報公開をするような手法もありますからそこまで深く考えませんでした。

pixさんの説明も確かに納得できますね。
モヤモヤするのでChatGPTに問題文丸々コピーして聞いてみました。
長くなるので省略して載せます。

6.C&C：マルウェアとC&Cサーバを通信させて攻撃対象組織のPCを遠隔操作する。
  → 事例にはC&Cサーバとの通信に関する情報は記載されていません。
7.目的の実行：攻撃対象組織のPCで収集した組織の内部情報を持ち出す。
  → 事例には組織の内部情報が持ち出されたことに関する情報は記載されていません。
したがって、今回のインシデントは、表1に示すサイバーキルチェーンの攻撃の段階でいうと、2から5までの段階が完了していると考えられます。

表1の「代表的な攻撃の事例」を省いて投げてみたら以下のように返ってきました。

7.目的の実行：記事には記載されていませんが、ランサムウェアが暗号化した文書ファイルを復号するための身代金の支払いが求められた場合、この段階が始まることになります。
したがって、表1に示すサイバーキルチェーンの攻撃段階では、偵察の段階を除いて、1から5までが完了していると考えられます。

そもそも「PC-Sからインターネットに向けて不審な通信が行われた痕跡はなかった」と書かれているので迷う余地は無いと思いますが。

設問4(2)に関して
IPAが出してる「情報セキュリティ10大脅威2023」のp.68「適切なバックアップ運用を行う」に、「ランサムウェア攻撃に備えて、ネットワーク上隔離された場所へ保管する。外部記憶装置に保管し、バックアップ取得時以外は物理的に接続を切ることが望ましい。」と書いてあるし、「ネットワークから切り離して保管する」でも正解にしてほしい……。

うーむ、10大脅威の対策記載そのままでいいなら
ネットワークから隔離、物理的隔離が判読できれば良いような気もしますね

過去問だと、いくつかある正答のうちいずれかを書けばOKというパターンもあったようなので、4（2）もそうならないかなと期待しています
（ネットワークから切り離して/施錠可能な場所にのどちらか）

マルウェア対策だとネットワークからの隔離、
個人情報保護の観点だと施錠保管が正解ですし、
それぞれを否定して一方のみを正答とする根拠が見つけられないんですよね…

個人情報保護の観点だとクライアントに個人情報落としてる時点でNGですけどね
外付けHDDなんかもっての他。持ち出してコピーしてもわかりませんし

設問3の(3)のように、記号を複数個答える問題の場合、
全部合っていないと点数にならないのでしょうか。
1つあってたら部分点とか無いのでしょうか。

別サイトの回答例は「施錠管理」ですが、
施錠管理は盗難・紛失のリスクを抑えるもので、
テーマの「マルウェア対策」に対しては蛇足な気がするんですよね。
施錠管理しようがしまいが、物理的隔離ができていれば問題ないはず。

なので、「取り外して保管」「取り外して施錠管理」なら○だけど
「鍵付き棚で施錠保管する」ならケーブルだけ伸ばして繋げる馬ｹﾞﾌﾝｹﾞﾌﾝもいるかもだから×と予想

最後の保管方法、社内LANから隔離して保管と書いてしまった…
やはり切り離して出ないと×ですかね…

「社内LANから隔離して保管」とかは正解するんであれば、僕はもし出題者だったら結構ショック。なぜならもう既に「取り出しできる記憶媒体」って書いてあるので、問題自体も「記憶媒体の適切な保管方法」だから、明らかに「ああ、物理的な保管方法を書いてほしいよね」と理解しているんですけど。「社内LANから隔離して保管」とかだったら、「質問に答えてないやん」と僕が出題者ならそう思うかもしれません。

適切な保管方法さん

PCに差して保管という概念がない限りは外すしか選択しがないですもんね
２０字かけてPCから抜き取ることを書くのは微妙。

PCから取り外して施錠できる場所に保管  とかなら両方網羅できるのでしょうか

まあ、採点する方々の優しさ次第だと思います。変な回答じゃなければ全部正解にしてくださるかもしれません。

マルウェアに感染した時の予備対策のことかと思い、「PCから取り外した状態で保管する」と記述しましたが
速報見た感じ、施錠して保管してほしいという意図で書かれてたら正解っぽかったのですが、自分の解答だと部分点あったりしますかね。。。

保管方法さん

だから「PCから取り外した状態」、からの適切な保管方法を知りたいかなと思います。

本文が「取り外しできる記憶媒体にバックアップを取得する」
としか書いていないので、それを「取り外して保管するはず」というのは、
正直思い込みに近いと思いますよ。

だって、うちのサーバーにくっついてる外付けHDDは取り外しできるけど、
外して保管してないですもん。上は外して保管してると思ってるのかな（－－

僕からすると、確かに応用情報ですと、問題文から抜き出した言葉＋アルファで回答することが多いですけど、たまに俗にいうOpen question(回答の範囲を制限しない質問)もあるようですので、それはいくら問題文も読んでも仕方がないと思います。

R3年秋オフィスのセキュリティ対策(4)d：中が透けて見える (8文字)も、問題文いくら見てもないのです。自分で考えて答えるしかないですね。

うーん、正解はIPAのみぞ知るですね
×前提で部分点もらえたらいいな、微妙に違うせいで自己採点×のものが多すぎた

終わったもんは終わったんですから、あまり深く考えずに結果を待ちましょう。
それぞれ違う回答、いわゆる違う思いがあるかもしれませんが、きっと全部採点の方々に届くはずですよ。(^^)
あまりにも速報ｖｓ自分の解答にこだわると、ショックばかりですから、早めに気持ちをリセットして、次の段階に進めた方が賢明だと思います。

まあ出題者の意図を汲むなら「施錠して保管」が正解なんだろうけど、正直言葉足らず感が否めないんだよなぁ

もし問題文中に「○社のセキュリティ規則では、外部記録媒体は施錠ができる場所に保管しなければならないこととなっている」とかの記載があれば分かりやすかったんだけど...

適切な保管方法さん

わたしもさんが言ってるように、「PCから取り外したあとに施錠して保管する」が正しいかなと思ったのですが、自分の解答だと「施錠」というワードが抜けてるので部分点はもらえるのかな。。と疑問に思い質問しました。 

少し趣旨がずれますがNo104のスレのように
今回のテーマが マルウェア対策の問題で、問題文にもランサムウェアに感染した際にPC内の重要な文書ファイルの喪失を防ぐために...と前提条件が記載されているので、「社内ネットワークから切り離す」や「PCから取り外して保管する」的な解答が適切じゃないかなとはずっと思ってるところです...(ここの議論はどっちも言ってることがあってるので両方正解にして欲しい)

>それぞれ違う回答、いわゆる違う思いがあるかもしれませんが、きっと全部採点の方々に届くはずですよ。(^^)

そうですね。IPAが両方正解にしてくれるのを祈ってますw

適切な保管方法さん
おっしゃる通りですね、予想回答で右往左往せず後は待つのみなので、ドキドキしながら待ちます！

"表の項番で答えよ"に対して"項番5"と答えてしまいました
セーフ？

類似の観点を持つ過去問は以下の通りです。
平成30年春の問1 設問4(2)
https://www.ap-siken.com/kakomon/30_haru/pm01.html
---
マルウェアはネットワークを通じて感染を拡大させるので、ネットワークに未接続ならば他の端末から感染する可能性はゼロです。そして、共有ディスクはバックアップだけを目的としており、社内LANに常時接続している必要はありません。このため、「バックアップ取得時／回復時だけ社内LANに接続する」ように運用を改善すれば、マルウェア感染のリスクを低減できます。
∴バックアップの時だけ共有ディスク装置を接続する
  バックアップ時以外は社内LANから切り離す
---
上記の例からも、社内LANから切り離して保管する旨で完全正解とはいかないまでも、不正解とはならないように思えます。

平成30年春と同様に今回の問題も「バックアップを取得した記憶媒体」の保管方法だから社内LANから切り離して保管でも問題なさそうですね。

共有ディスクの運用方法だから社内LANから切り離すでも違和感ないですけど
取り外しできる記憶媒体を社内LANから切り離すってのも変じゃないですかね

今回の問題はそもそも文章の流れ的に、ランサムウェアに感染した際にファイル喪失を防ぐための保管方法です。でしたら施錠して保管も文の補完としてあってもいいと考えますが、あくまでネットワークorPCから取り外すことが根本的なランサムウェアへの対策と言えるような気がします。ですので取り外しできる記憶媒体を社内LANから切り離すのは変でもないですしなんならそれがメインなように思えます。

最後は特定の人物しか入れない場所で保管て書いたw

切りはなすじゃなく隔離って書いちゃったー隔離と切り離すじゃ別物だから部分点も期待できないかな？

隔離された場所で保管する。と書きました。
部分点こい！w

大原の回答でましたが、最後の文章問題は
バックアップ取得時以外は取り外しておくとなっていますね。
やはり施錠派・取り外す派の２派あるようです。

最後の問題は現実的におかしくなければほとんどの人が正解or部分点になる気がしてます。

取り外すでしっくりこないのは
取り外せば適切な保管方法となるから
机の上にポイっておいてあっても適切に保管されてされている状態となっちゃうところ。

IPAさん少し問題がふわっとしすぎたのでは

社外に持ち出さないようにするはばつですか？

記録媒体を取り外して複数世代保管する。

なかなか攻めた回答だ

最後の問題は問題文がおかしいと思う。
保管する方法(手段)か保管する方法(状態)かが分からないからこんな議論を生んでるんだし。

サイバーキルチェーンの問題を掘り起こすようで申し訳ないのですが、4を選んだ私からの疑問です。
組織のPCの言われると複数人感染した状況を想像したのですが、たとえ1人でも感染させられたら組織の感染となるということでしょうか。

私もKさんと全く同意見で、4を選びました。インストールは1台されたけど、組織の他のPCには影響でてないので、、

PC-Sは攻撃対象組織のPCか？?YES
インストールされたか？?YES

複数とか単体とかは関係ないね

組織の人間が一人でも感染したらそりゃ組織の感染でしょう
最後の問ならともかく、ここは意見割れるとこじゃないし往生際が悪いとしか

組織が複数だと思ってる人の中には「4.マルウェアの実行＝実行PCがマルウェアに感染した」と勘違いしてる人が居るんじゃない？
実行PCがマルウェアに感染した後に「5.組織のPCに感染させる」って流れだと思ってるなら「組織＝複数」って考えるのも分かる気がする

皆さんご回答ありがとうございます！
正解は4だ！とかではなく詳しい方々からお聞きしたかっただけです。
Leoさんのおっしゃる通り、項番4はある1人のPCに感染、項番5でその1人からウイルスが複数人に感染 って感じで捉えてました…  正答率高そうな問題落としたの悔しい、

最後の記述問題
「個人情報保護に基づいた保管方法」
と記載したのですが、どうでしょうか。

最後あってればたぶん満点・・・なんだけど
「PCから切り離したまま保管する」みたいな感じで書いた・・・

最後の記述、「保管」=「ネットワークで切り離す」と思って皆の言ってるネットワーク部分ガン無視しちゃった。
解答は「社内の機密性の高い場所に保管する。」とかいう超逃げみたいなのにしちゃった。ipa採点甘くしてー…

ネットワークというか、PCから切り離すですねごめんね

もう字数制限なしでボクの考えた最強の保管方法みんなで考えようｗ

ぼくのかんがえたさいきょうのほかんほうほう
・バックアップデータは取得後に暗号化する
・外部記憶媒体は個人毎に施錠できる鍵付きロッカーに保管する
  or管理者に鍵付きロッカーから出してもらい、バックアップ取得後に管理者に返却する
・毎日外部記憶媒体がある事を管理者が確認する
・バックアップ取得で外部記憶媒体接続の前にPCをフルスキャンする
・なんならバックアップの世代管理もしちゃう

絶対したくないセキュリティ対策ができたよ／(^o^)＼

既出ですが、過去にマルウェア・ランサムウェア関連の問題が出た時はネットワークから切り離す様な解答でしたので、最後の問はそう答えました。
だけど、「個人情報の入ったデータをそこらに置いてええんか！？」と思って、急遽施錠保管する旨をつけ足し。

参考までに、類似の観点を持つ過去問の採点講評は以下の通りです。
平成30年春期  問1 設問4(2)
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000fabr-att/2018h30h_ap_pm_cmnt.pdf
---
設問 4(2)は，正答率が低かった。ファイル暗号化型ランサムウェアの特徴として，感染した PC だけでなく，ネットワーク上で共有されているファイルまで暗号化される場合があることを理解してほしい。
---
よって、上記が理解できていることを解答の記述から読み取れれば、正解になると思われます。

最後の記述、素直に切り離すにすればいいのに、ネットワークから隔離にしてしまった…
隔離と切り離すは違うから、これは部分点も貰えないですかね

隔離でも部分点くらいは貰えそうな気はします

バックアップの対策だと隔離か切り離すまたは必要な時に接続
今回は問題文で取り外すとあるから切り離す、ですね
部分点もらえることを祈って発表を待ちます！

鍵つきで耐火性のあるキャビネットで保管する
って余計な言葉書いちゃった。

隔離された場所で保管すると回答しました
バツにはならんでしょ

鍵付きの部屋で一元管理する的なこと書いたんですが×ですかね、？

R社LANから切り離して保管する
に一票です。