令和7年秋期試験 午後試験【問4】についての投稿を受け付けるスレッドです。

h,i,j,j,k,lが抽象的すぎてよくわからなかったです

ncプログラムのバックアップと監視制御pcがマルウェアに感染したくらいしか思いつかなかった

私も最後はncプログラムのバックアップみたいなこと書きました

マルウェアは未知のマルウェアでしょうか。
アノマリ型マルウェアと書いてしまった、、

最後、例であえて操作用PCの記載がなかったので操作用PCの予備でリカバる内容を書きました

設計情報ファイルのバックアップって書きました。取引先が持ってたらメールで送ってもらうとかでも良いのかもですが

ファイルサーバのバックアップとかだめですかね、、？

私はファイルサーバが感染して暗号化されるって書きました。ファイルサーバに触れられてなかったので丁度よさそうな感じがして

できるだけ起きる可能性の高い、がどこまで考慮されるのか次第ですよね。
まさにIPAのさじ加減な気が…

僕は最後の行はファイルサーバのバックアップにしました。
下から2行目をNCPCのバックアップにしました。

最後の問題外部からの攻撃による秘密情報流出
脆弱性のある機器等のバージョンアップにしたけど、部分点でないかな、、やっぱり攻撃によるbkですよね、、深読みしすぎた、、

工作できなくなるものということで工作機械を中心に書きましたが、SCADAとほとんど同じ内容になったのでダメそうです

マルウェア対策ばっかだしでDDoSにしちゃったよお...
工作機械用PC対策されてねえなあとは思ったけどそっち書くべきでしたかねえ

最後のは角川のランサムをか考えているのかなと思って、そのシナリオで書いてみたな。 でも制限ないから何書いても点数貰える気がする

操作用PCはよくみるとすでに言及されたから、ファイルサーバがやられて丸ごと暗号化されたりする線だろうな(自分は間違えたけど)

工作が止まる系のクリティカルな点で問われてるのかと思ってファイルサーバ関連外しました
工作機械操作洋のPCで大体できるんじゃねって思ってそっちへの切り替えで記載しましたわよ
あってなさそう

後半全部抽象的すぎ
fはSCADAに対しての通信制限させたいのは分かるけどその後が分からん
gはUSBを業務利用する前にスキャンとかするテスト端末用意するとか？

fg抽象すぎてよくわからんかったので、訓練とか規定系で攻めたんですがだめですかね

操作用PCって言及されてましたっけ？
あえて表6に記載がなく、予備を持ってるけど使ってないって記載だったので、問題から用意された解答なのかなと思って記載ちゃいました。

表4の項番2が表6内で触れられていないようにみえたので、最後の行はファイルサーバのバックアップにしました。

ポリモルフィックマルウェアと書こうと思ったら収まらなかったので多様型と書きましたがそんな言葉はなかったので❌ですね、、、

最後の穴埋めはファイルサーバの線で書いてましたが、機械が停止した体の対応を聞かれていたので工業機械に切り替えました(操作用PCと迷った)。
その一つ上は、みなさんの解答みて量産用ncのバックアップで自信アリです。

初めのマルウェアの二つの穴埋め何にしました？

最後は営業部PCがマルウェアに感染してファイルサーバが削除されるって書きました。FW経由のことしか書かれていなかったのと、営業部に書き込み権限は必要かなと思ったので

後半は明らかに間違ってなければまず部分点はあると思ってる

未定義の
圧縮
しょーじきわからん

未知の
暗号化

話の流れが工作機械と思い、量産プログラムが書き換えられる流れを記載しました。マルウェア感染させて止めるよりも、プログラムを少しだけ変えて不良品大量発生させるか、ちょっとパラメータ変えられてNC工作機械をぶっ壊される方が怖い。。。自分で書いててゾッとしました

> 工作が止まる系のクリティカルな点で問われてるのかと思ってファイルサーバ関連外しました

ファイルサーバの暗号化で考えて残り5分でこの思考にたどり着いた…

最初のマルウェアは
未知の
暗号化
にしました。

ファイルサーバの設計情報ファイルがないと工作できないので、設計情報ファイルのバックアップはアリだと思いたい、、、
メールとして残ってるとも限らないし、全ファイル暗号化とかでダメにされたら取引先に再送してもらうのも現実的ではないのかなと

fとgに関して、tpmgさんと全く同じでした。fはFWでも置けばええやろって思っていましたが、gは回答欄が長くて不安ですが、USBをウイルススキャンするための端末とソフトを用意するようにしました。

僕もtmp123と同じ理由でファイルサーバにしました。
ここに格納されている設計ファイルを元に他のファイルを作成するって書いてあったので...

工作に使ってるのはファイルサーバの設計図ではなくて、量産用NCプログラムファイルではないの？
ファイルサーバの設計図はその元データで、工作機能の稼働にはあんまり関係ないんじゃないかな？

すみません、敬称が抜けてしまいました。
tmp123→tmp123さんに訂正させていただきます。

アノマリ型
暗号化

最後のは一般PCがネット上の悪意あるサイトからマルウェア感染したケースと、仕組みはPC復旧のメディア準備、手順は感染PCを隔離する手順と書きました。漠然とし過ぎて困りました。。

聞き方が抽象的すぎて、お祈りフェーズといったところでしょうかね

最初の方
変異型
暗号化
移転 回避 受容
にした

中略

最後のは
シナリオ （アサヒビールを思い出して）ランサムウェアに感染する
対策  ファイルサーバを2時間毎にバックアップ
必要な手順  ファイルサーバ予備機に切り替える手順

多少間違ってても部分点はあるんじゃないかな(^_^;)

gはUSBメモリの運用をなくしてpcから直接回線を通じて保存するっていうのは問題点ありますか？

最後は操作用pcでホットスタンバイにしてしまいました。
一番可能性が高いって、どう判断すればよいか分かりませんでした。

最後はメールsaasがオプション設定していないところが1番危ないのかと思ってた…パターンマッチングはもう導入してるからサンドボックスを導入するのが対策かと。
浅はかすぎるか。笑

問4は完全にフリーに書け、実力みたるわ
だったので簡単そうだったけど回避しました。自己採点も不可能でしょう。

最後の問、1番可能性が高いといったらセキュリティ１０大脅威の1位ランサムウェアじゃないかなと思ってランサムウェアにしました。
正確な順位は覚えてませんでしたが上位だったなと笑

最後はファイルサーバがランサムウェア感染で、バックアップで、バックアップからの復旧手順。にしてみました。
今回は手応えあり。

悩むだけ無駄な設問だったので、思いつくまま書いたうえで自己採点は諦めました

工作ができなくなる のところあまりにわからなくて、工作の委託先の選定とか連絡体制を確立するみたいなこと書いちゃいました。もはやこの資格の内容関係なくて草とか自分で書きながら思ってました

最後の問題は、不正なサイトからマルウェアが感染して…
って書いたけど、その後の仕組みと手順が前述とほぼ一緒になってしまった…

最後の問題は操作用PCの予備機をコールドスタンバイさせて、切り替え手順を用意すると書いたのですが、どう思いますか？自由度が高過ぎて不安になりますね

私もおでんさんと一緒ですね。
意図して操作用PCを書いてなくて解答として書かせたかったんだと信じたい。

最後は、ファイルサーバか迷いましたが、J社への損害賠償について何も触れられていないと思い、そちらに関する記述をしてしまいました…深読みしすぎですね

wmさんと概ね同じ状況ですぅ

新種の
圧縮
ほ◯になりますかねー？

操作用PCの予備機をコールドスタンバイだと外部からの攻撃に対するシナリオとあったので弱いかなあと思いました。
ラムサムウエアのファイルサーバの暗号化と書いた📄

gはUSBデバイス制御について書くべきだったでしょうか？SCADAへのログイン認証にMFAを導入するって書いてしまった…焦

最後の問題、shimakeyさんと全く同じ回答にしました
・ランサムウェアにファイルサーバーが暗号化される
・ファイルサーバーの別環境へのフルバックアップ
・RTO2時間以内のリカバリプランの策定

なんにも思い付かなくて停電と予備の電源とか書いちゃった…

f は一般PCとSCADAにEDRを導入すると記述したのですがFWが正解そうですね、、、
一般PCからSCADAに通信させる必要もなさそうですし。

最後の設問は訓練が必要とのことなので、BCPに沿った訓練をやってない、訓練を実施、訓練の手順といった回答をしました。如何でしょうか？

設計情報アクセス権設定設定

R、W、権限変更
総務課 ❌ ❌ ❌

営業部 〇 〇 ❌
設計課 〇 ❌ ❌
製造課 〇 ❌ ❌

総務課、Read権限をつけないといけない理由を探してたけど、みつからなくて全部バツにした。 自信が無い…
設計課については、CADに読み込んで設計図ファイルを作成こそすれ、設計情報に書き込み権限を与える必要はなかろうかと。
製造課は品質保証課と同じく、試作品の品質適合確認のためにリードオンリー。

（し）にIDSを導入とかよくわからんこと書いてしまった

ランサムウェアはそうか、と思ったし、個人的に正解だとおもいました。
けど、''できるだけ起こる可能性が高いもの''と書いてるので、そこが引っかかるところではありますね…
これが、''できるだけ被害影響が大きいもの''とかなら一択なんですが…

大丈夫大丈夫、この問題は割れそうだから下駄を履かせるはず。
大丈夫大丈夫大丈夫大丈夫👌

回避、転嫁、容認としてしまった
伝わるだろうけど誤りかな

最後のはファイルサーバとそのバックアップデータが暗号化される。
対策はバックアップデータをlanから隔離した領域に保管するようなことを書きましたが深読みしすぎたかもしれません。

転嫁を転稼って書いちゃったよー😭
オマケしてくれないかな、、、

最後の問題、LDAPがマルウェア感染するってした人いませんか？

リスク転嫁ってかいたけど自信なかったからリスク共有にしたけど、大丈夫かな…？

復元してみました。

問4 
a 未知の
b 圧縮
c 回避
d 移転
e 受容
(2) ×××
 〇××
 ○○×
 〇××
f (け)にIPS
g SCADA操作用PCへ接続する前に、SCADAへ接続できない領域で、USBメモリの検えき診断を行う設備および制度
h SCADA操作用PCにおいても予備機を用いて直接SCADAを操作できるようにするため、アプリを含むリカバリメディア
i SCADA操作用PCを復旧する手順
j NC PCでインターネットへ接続した際にランサムウェア等のマルウェアに感染し、NC PCから試作用NCプログラム等が取り出せなくなる。
k NC PCのインターネット接続先をソフトやOSメーカーサイト以外には接続元を制限するとともに、NC PCのデータ復旧に必要なデータのバックアップの取得
l NC PCを復旧する手順

アクセス制御はぴんぴんろくさんと同じくです。

回避
受容
転嫁
で大丈夫でしょうか？

（し）にIPSと書きました

PCがマルウェアに感染→ドメインパスワード入手→ファイルサーバの設計情報ファイルを流出
EDRで対応
損害賠償があるから

そもそもOT隔離してないの？？というところで引っかかってめちゃくちゃ悩みました。作業再開優先かつ外部からのサイバー攻撃なのでファイルサーバ関連と内部不正を外すと、皆さんと同じくEDRか内部のネットワーク経路絞るしか思い浮かばなかった。。

UTMを（し）に設置するみたいなことを書きました

転嫁の嫁が不安だったからリスク移転にした。移転でも良いっぽい。

転嫁を転稼って書いてしまった
あと回避の避がどうしても出てこなかった。。
避難経路とか問題用紙に書いてないか血眼になって探したけどなかった…

悔しい！

可能性が高いって設問の記述を見て心の中のひろゆきがそれってあなたの感想ですよねってつっこんできた

（け）に次世代ファイアウォールを設置ってダメですかねー

SCADAをマルウェア感染させないようにするみたいな問題だったはずなので、SCADAに一番近いところが良いのかな、
IPSもUTMもほぼ一緒よね（個人的な意見ですが、）

マルウェア対策ソフトと、EDRは同じ扱いになるんですかねぇ

b.zip化 と答えてしまった、、
部分点を期待します

リスクの用語で困惑されている人がいるので、TACのテキストで別解を調べてみました。

回避…これ一択のみ
移転…共有
受容…保有

上記の別解は問題ないと思います。

問4、スパムメールに対してSaaSメールサービスの怪しいドメインのメール隔離機能やブラック・ホワイトリスト登録機能あれば使え、無ければSaaS移行しろとか書いちゃった
そもそもマルウェア型のスパムメールについて既出だから、フィッシングとか攻撃手法限定しないといけなかったかな（泣）
これ部分点も無さそうで泣きそうです…

設問1
a:パターン外 b:圧縮
設問2
（1）c:転嫁（誤字） d:回避（避がひらがな） e:受容
（2）上から
××⚪︎
⚪︎⚪︎×
⚪︎××
⚪︎××
設問3
f:図3の（し）にファイアウォール
g:ウィルススキャン済みのSCADA専用のUSBメモリ
設問4
（1）h:SCADA操作用PCのホットスタンバイ機
g:ホットスタンバイ機への切り替え手順
（2）j:ファイルサーバがランサムウェアに感染しファイルにアクセスできず工作ができなくなる
k:バックアップを取得する

設問3以降がボロボロです…

圧縮されただけであればスキャン可能なので暗号化が正解かと思います。

設問1
a:未知の
b:暗号化
設問2
(1)c:受容、d:移転、e:回避
(2)
・総務課：全部×
・営業部：読込、書込○、権限変更×
・設計課：読込のみ○
・製造課：読込のみ○
設問3
f:(け)にデータダイオード
# どっち方向に許可するのを書き忘れた。OTネットワークを分離したかったので、(し)ではなく、(け)にしました。工作機械からSCADAへの応答通信はあり得ると思ったので。
g:SCADA操作PCに接続する前にUSBメモリに対してマルウェアスキャンするための検疫システム
# USBメモリが接続される前の対処を書かせたいのかなと思って、上記の回答。
設問4
(1)
h:工作機械の工作再開するための、量産用NCプログラムを含むリカバリメディア
# 流れ的に「工作ができなくなる」と記載があったので、「工作再開」のための仕組みと手順が必要だと考えた。流れ的に、「リカバリメディア」を使った方が良いのかなと思ったので、上記記載にしました。
i:工作機械の工作を再開する手順
(2)
j:一般PC、CAD PC又はNC PCがランサムウェアに感染し、ファイルサーバーに感染が広がり、設計情報ファイルおよび設計図ファイルが暗号化される。
k:ファイルサーバのバックアップを取得して、安全な場所に保存する
l:ファイルサーバのバックアップデータをリストアする手順
# 業務停止に至るインシデントは工作機械が止まってしまうことだよなーとは思いつつも、①SCADAに対してはシナリオが思いつかなかったこと(問題文に書かれている内容でひとまず十分ではと思った)、②図2内の「設計資料が秘密情報として提供されている」ことに対して問題で触れられてきていなかったこと、③できるだけ起こる可能性が高いものとしてランサムウェアかな、という三点から上記にしました。操作用PCに関しては、表4の項番4で言及していて、省略されているものの表6の2行目に記載があるので、除外してしまいました。

設問四の必要な仕組み…を、ソフトウェアやハードウェアなどのことを指すということが前ページ（書かれていたのを最後の方で気付きました…

設問4はもう駄目だ…0点で自己採点しよ…
大問1で45点は取れてそうなのでどうか設問1、設問2(2)、設問3の部分点で15点ください…

1a未知の b圧縮
2（1）c移転 d回避 e受容
（2）
×××
××◯
◯◯×
◯◯×
◯××
◯××

3f 図3中のえおくさにIPSを（本番はカッコつけてます）
g図3中のこくすにマイクロセグメンテーションを
4h予備機を用いてSCADA操作用PCを復旧するための業務アプリを含むリカバリメディア
i SCADA操作用PCを復旧する手順

4 j J社を騙る電子メールにマルウェアが添付されており、営業部門が開封することで一般PCからマルウェアが感染し、工作機械まで感染拡大し工作ができなくなるリスク
k
工作機械を復旧するするための業務アプリを含むリカバリメディア
l工作機械を一斉に復旧する手順

※最も起こる可能性が高いもの（j）については、問題文冒頭にL社の売上のうち90%はJ社で、その後子会社になったこと、SaaSのメールサービスのマルウェア対策オプションをつけていないことから、外部接点として標的型メールの可能性が最も題意に即していると思いましたが、表4の（3）が省略されて書かれていて重複感があり…バツかもです

営業部の書込権限は必要ですか…？＞＜

最後は「攻撃の端緒を含めて答えよ」って問いなのでなぜマルウェアに感染したかも書く必要がありそうですね。

> 営業部の書込権限は必要ですか…？＞＜
営業部が設計情報ファイルを設計情報ファイルの保存領域に保存するので、書込権限は必要だと思います。

最後のフリー回答DDoS対策に冗長化とか書いてしまった...

設計課の書込み権限はいらないのでは？ 問題の対象は設計情報ファイルだけだと思うのですが…

自由度が高すぎる
最後は製造監視用PCがマルウェアに侵されたら工作できなくなる、だから製造監視用PCも予備機が必要、みたいなこと書いた

問4は2時間以内に復旧する手順を書く必要があるってとこ見落としてる人多そう
終わりDeath

設計課の書き込みはいらないですね

想定シナリオとか対策に既出の内容が
なんかイマイチでjに何書けばええか困った人多そう
ワイはゴジラの光線でネットワークが破壊されるケースを書いたやで

問4はそもそも「製造」ってどの範囲を指すのかが曖昧ですね。

設計情報ファイルと設計図ファイルが別ということに気づかず、設計の書き込み権限を与えてしまいました。もうダメだこりゃ…

記録用。

設問1 a:未知の、b:暗号化
設問2（1）c:回避、d:受容、e:共有
   （2）総務課：×××
     営業部：○○×
     製造部設計課：○××
     製造部製造課：×××
設問3：ｆ:（え）（お）（く）（さ）にインライン型のIPS製品
    g:SCADA操作用PCにEDR
設問4（1）h:SCADAの予備機とSCADA操作用PC間の接続
     i:LANケーブルの差し替え手順
   （2）j:マルウェアに感染したNC PCからUSB経由でSCADA操作用PCがマルウェアに感染し、SCADAの操作ができなくなる
     k:SCADA操作用PCの予備機にOSのインストール及びSCADAの操作に必要な各種設定
     l:SCADA操作用PCの予備機のセットアップ手順

設問1 
a:未知の、b:暗号化

設問2
（1）c:回避、d:受容、e:移転
（2）総務課：×××
         営業部：○○×
         製造部設計課：○××
         製造部製造課：○××

設問3
f:（け）に不審な通信を検知し遮断するIDS
g:SCADA操作用PCに安全性が確認されたUSBメモリ以外を利用不可とするDLPソフト

設問4
（1）h:SCADA内の試作用NCプログラムや量産用NCプログラムをバックアップしたデータ
         i:SCADAのデータをバックアップからリストアする手順
（2）j:一般PC,CAD PC又はNC PCがマルウェアに感染し、LDAPに感染が広がり、ファイルサーバの認証ができなくなる。
        k:PC復旧のためのリカバリメディア、LDAP復旧のためのリカバリメディア及び認証情報のバックアップデータ
        l:PCの復旧手順、LDAPの復旧手順及びデータリストア手順

出題の意図からすると製造が停止する被害に至るシナリオと2時間以内に復旧という話。
つまり、試作時ではなく量産時。
ファイルサーバーは試作時の話なので出題者の意図ではなくなる。

ファイルサーバー系はダメそうですね、、、

この投稿は投稿者により削除されました。(2025.10.12 21:55)

回避がどうしても出てこなくて、排除って書いた。ダメだろな。

最後の可能性が高い云々は、10大脅威の1位ランサムウェア、2位サプライチェーンから、L社自身がサプライチェーンだからランサムを書くべきなんだろな、ってことでランサムでファイルサーバが暗号化される。対策としてはファイルサーバにマルウェア対策が書かれてなかったので、マルウェア対策と共に321ルールに沿ったbkup、手順はbkupの復元手順とした。

gはアンチウイルス機能付USBメモリ、って書いてたけど、終了間際に、SCADAにEDR、と書き換えた。自信は無い。

量産時でも品質保証課による完成品の検査があるので、ファイルサーバも必要ではないかと。

あたしゃファイルサーバがマルウェアに感染して外部にデータ流出って書いたよ

対策はDLP導入

私もランサムウェアで正直自身あったんですけどNo.102さんの話聞くと間違いかなと思い始めました・・・

t21211さん
確かにそうですねと思いかけたんですが、量産時も設計情報ファイル見るんでしょうか？試作時だから設計情報ファイルは見るが、量産時は品質基準だけ(これはファイルサーバは関係ないもの？に思える)を確認しそうにも思えます。
このあたりは詳しくないのでわかりませんが、、、

設問1 未知 暗号化
設問2 (1)防御 分析 検知
（2）総務課：×××
         営業部：○○×
         製造部設計課：○××
         製造部製造課：○××
設問3 f:「し」にWAF
g:NC PCにパターンマッチング型以外のマルウェア対策ソフト
設問4 h:SCADAのホットスタンバイ
i:ホットスタンバイに切り替える手順
j:工作機械操作用PCがマルウェアに感染し、工作機械に動作の指示を出せなくなる
k:
工作機械操作用PCの予備機を保管し、復旧するためのリカバリメディア
l:工作機械操作用PCを復旧する手順

最後の設問、他のセグメントと製造セグメントを隔離する方向での回答はダメですかね。
ランサムウェアのシナリオと迷いまいましたが、、
隔離する方向でのシナリオで回答しました・・

可能性が高いの文言で、ランサムウェアしか思いつかなかった…
全体的に回答が割れそうだなぁ。

設問1
a
メモリ
b
圧縮

設問2
(1)
c
回避
d
受容
e
転稼（漢字間違い、正しくは転嫁）

(2)
総務部総務課 × × ×
総務部情報システム課 × ××
営業部 〇 〇 ×
製造部設計課 〇 〇 ×
製造部製造課 〇 × ×
製造部品質保証課 〇 × ×

問3
f
図３中の（き）の箇所に、FW
g
図３中の（こ）と（し）の箇所に、
USBメモリの接続に対し、
スキャン

問4
(1)
h
マルウェア定義ファイル及びマルウェア除去のソフトウェア
i
マルウェア定義ファイルの更新及びマルウェア除去を行う手順

(2)
j
攻撃者によって、ファイルサーバが暗号化され、ファイルが読み取れなくなる。
k
ファイルサーバのバックアップを、L社以外のクラウドといったサービスにバックアップを取得する。
l
バックアップから復旧する手順

最後はランサムウェア含むデータの破壊の表現にしました。ランサムウェアできるなら、改ざんも容易と思い。ランサムウェアに絞る理由が見つかりませんでした。

この工業機械ってOS入ってるんですかね？NCプログラムを入れられるということは、OSが入ってるって解釈で合ってる？

凄く不思議な問題を選んでしまいました、、。
配点ってどーなってるんですかね？
ブラックボックスとはいえ、ある程度の定説はあるわけで、そこから考えるとやけに記述が多いなって印象です。最初の単語系のウェイトが軽いのか、記述系ののウェイトが軽いのか。前者なら、J-Lの流れをミスったら1発koで。後者なら、今までとは結構異なる。

まぁ、何にせよ来年度頑張ります(´；ω；｀)

設問3以降は回答が割れてるので、正答率が低そう…ラストもランサムに見せかけてそうではないよいな気もするし、案外、平均低いかも？と思ってしまう。

大問の3がかなり優しかったみたいだし、この大問4は多少基準が甘くなると信じて待ちましょう

NCプログラムが暗号化されたら工作できなくなりますね
IPAの10大セキュリティ脅威読んでても発生確率という観点では、絶対的な正解は無いように思います。
とんちんかんじゃなければみんなOKだと思います。

表４の項番１に設計情報ファイルは競業他者に売却できるとありましたので、ランサム対策としては暗号化と適切なバックアップとしました。

投稿見ててそういえば量産時の流れあんまり見てなかったなと反省、そしてファイルサーバーがランサムウェアにかかるパターン間違いじゃねの投稿でビビりまくってます。

ランサムウェアで暗号化されるとしたら、ファイルサーバだけでなく、感染拡大可能なすべてのホストに感染させるのでは、と思い各PCとサーバの名前全部書きました笑

最後はランサムウェアが1番最初に思いついた。
けど問題文に記載してあるソフトウェアとハードウェアの観点で2時間以内に復旧するという条件を考えると、すでに2番目でハードウェアは記載されているし、それはランサムウェアイコールマルウェア感染と言えるし、、制御系システムに対するワイパー的な脅威もあるし、そういえば最初に秘密保持についての記載もあったけど、情報漏洩と2時間以内のリカバリプランって関連あるのかな、、と巡り巡りましたがどうしても出題者の意図が読めず、最終的に時間ないし訳分からんかつ浅いこと書きました。

最も起こりうる可能性が高いとか限定しているし、やっぱり他の方が言うようにランサムによるファイルサーバの暗号化とそれに対する対策を書けばよかったのでしょうか、わけわかめ。

設問1
a マクロ型
b アーカイブ

だとだめかなあ

設問１は

a 静的な
b 暗号化

と書きました

思ったよりランサムウェア派の人が多いのですね
発生する可能性が高いということで、脆弱度と脅威の発生確率の兼ね合いと思いますが統計的にはランサムウェアは国内だと年間200件前後なので感染した時のインパクトは大きいですが件数が少ないので違うかなと思ったり…、DDoSがIIJ公表分だけで年間5000件程度でさらに多く、マルウェア未対策かつフィッシングメール（添付型は例にあるのでURLクリック型？）が国内向け年間100万件とするとランサムウェアではないかなーと思ってたのですが、問題文中とかに何か手がかりがあったりしましたっけ

業務停止シナリオなのでDDoSかランサムかマルウェアか標的型攻撃かといったところだと思いますが（それぞれ細分化すると種類はたくさん）

ランサムウェアとかの類いって、デジタルフォレンジックとか警察とかの調査入るから2時間で復旧は不可能な気がします、、

権限の〇×あたりの配点ってどうなるでしょうか。12個分あったと思うので12点分とかですかね。半分の6点かなとも

記述式の設問は、だいたい一つずつ5点～7点ぐらいあるので、ミスると一気に崖っぷちに追いやられますよね。他でミスれない状況になっちゃいます。

IPAは意外と捻った答え出してくること少ないから王道の答えであって欲しい...ランサムウェアー

設問4⑵、No.109のやばいさんと同じ内容↓で記載したのですが、部分点ありそうですかね。。
j:工作機械操作用PCがマルウェアに感染し、工作機械に動作の指示を出せなくなる
k:工作機械操作用PCの予備機を保管し、復旧するためのリカバリメディア
l:工作機械操作用PCを復旧する手順

ランサムウェアのファイルバックアップの内容を書かないと部分点なさそうな気も。。

減点される要素は少なそうですよね
採点甘いといいです

>>130
ﾅｶｰﾏ
製造現場だととにかく機械を動かせるようにするのが最優先なので・・・

ランサムウェアってマルウェアの一種じゃなかったでしたっけ？
と思ったのでランサムウェアは書かなかったです。

設問4(2)で製造監視用PCって答えてるの俺しかいなさそうだな
自分ではそこそこありそうな答えだと思ってるんだけどどうだろう？

工作機械操作用PCは工作機械の専用ポートに繋がっていて、同一ネットワーク上にあるのかというと微妙な気がする。そこまでマルウェアとかが侵入するのは難しい気がして対策案としてはかなり優先度が低い気がします。合ってるかは知りませんが笑

私も、ふかふかお布団さんと同じく工作機操作用PCは専用ポート接続なのでマルウェア感染波及していない前提で以下にしました。
h:量産用NCプログラムのバックアップを工作機操作PCに保存
i:バックアップの手順及び工作機操作用PCによる生産再開手順

ランサムウェアによるファイルサーバの暗号化とそれに対する対策を2時間で復旧するシナリオは現実的ではないと思い、マクロ型ウイルスによるデータ破壊とバックアップサーバからの復旧にしましたが、ランサムなのかな。。。

この投稿は投稿者により削除されました。(2025.10.13 23:01)

■設問1
未知 暗号化
※「未知」と書いてしまった。「未知の」までいるかもです。

■設問2
回避、受容、転嫁
※きっと順不同でよいですよね。

（2）
総務課：×××
営業部：○○×
製造部設計課：○××
製造部製造課：○××

※総務課はXXXだと思うけど、
※全部×を探させるのは時間が限られている試験ではやめてほしい。。。

■設問3 
f：EDRの導入 ※これくらいしか思い浮かびませんでした。
g：EDRの導入 ※これくらいしか思い浮かびませんでした。

USB経由でやりとりするのであれば、
そもそもSCADAは社内LANにつながっていないほうが良い。
これに違和感を感じて頭回りませんでした。。

■設問4
h:SCADA操作用PCのホットスタンバイ
i：ホットスタンバイに切り替える手順
※上段がSCADAだったので国語の問題的に。
※ただ本当に国語の問題だとしてもちょっと違和感があります。

■設問5
ｊ:未知のマルウェアによりLDAPサーバから権限が取得され、ファイルサーバの権限が書き換えられてランサムウェアによりファイルが暗号化される。
k：ファイルサーバのバックアップの取得。バックアップは読み取り専用にて複数世代取得を行う。
l：バックアップからの復旧

※ファイルサーバにバックアップが無かったことと、ランサムはありがちなので。
※読み取り専用や世代管理は必要かなと思いました。

やっぱり設問4ランサムウェアでしたか…
SCADA操作用PCの予備機系で書いちゃいましたが、よくよく見ると被害シナリオに表4の項番4と言及されていますね

だめかな〜書き直さなければ良かった…

私もSCADA操作用PCの予備機系で書きました

表4の項番4は、マルウェアがSCADAを不正に操作して"SCADAが停止する"シナリオのため、jに
"SCADA操作用PCが停止する"シナリオは書けるのかと思いました、表1にSCADA操作用PCの予備機の記載もありますし。

h.iですが、表6の必要な仕組みの「PC」は一般PCのみを指しているのかNC PCを含んでいるのかどちらか判断できなかったので、ファイルサーバ内データ（設計情報ファイル）、バックアップからの復旧手順と書いてしまいました。

設問5は起こる可能性が高いものであるのと復旧までに2時間の条件があるので、ファイルサーバのランサムウェア被害は答えとしては厳しそう。

2時間以内もそうですが、工作作業の稼働停止の被害について話しているので、試作段階のファイルサーバに関する解答は全てバツでしょうね。

もはやこの問題は問5が正解か不正解かだけの問題なのでは

以前も投稿しましたが、最後の設問は問題文に「訓練が必要」とのことだったので、訓練をやるというようなことを書きました。実際、勤務先ではCSIRTの体制はあるけど、訓練はやったことがなく、まさに今、攻撃シナリオとBCP、訓練手順書を作成中。この経験が今回の設問の解答として得点がもらえれば嬉しいです。

私もNo134の楠さ〜んと同じです。表1のSCADAの記載に稼働状況を製造監視PCに定期的に送信するとあるので、製造監視PC経由で感染するリスクは低くないのではと思いました。でも、ランサムなんでしょうね。

設問2 (2)の○×って部分点ありますかね？一か所間違っていたら0点でしょう…

設問４についてはSCADAがマルウェアに感染したということは当然いったん全て初期化した上でリカバリメディアでOSやアプリケーションを復旧するので、保存されてたNCプログラムは全て消えて無くなってしまうと思います。
なので、そのNCプログラムを保存領域に戻すために、hには『NCプログラムのバックアップデータ』、iには『バックアップデータからNCプログラムを復旧するためのリストア手順』としました。

同じような解答された方はいませんか？

ちなみにリカバリメディアとはシステムトラブルが発生した際にサーバや端末を工場出荷時状態などの初期化をするための物理メディアとなってるので、NCプログラムのような成果物のデータは含んで無いと思っています。

>>149
似たようなものを書いてました。
「試作用および量産用NCプログラムを含むリカバリメディア」と「プログラムをSCADAに保存する手順」にしました。
自信はありませんが‥

２時間以内にという縛りを考えて、
ランサムウェア感染による量産用NCプログラムの暗号化
安全に暗号化した量産用NCプログラムのバックアップデータ
バックアップデータから復旧する手順
としました。

ファイルサーバーについてGPT君に見解を聞いて見ました。ご参考まで。

---

ファイルサーバーに保管されている設計情報や図面データが暗号化されると、
新規部品の試作や設計変更が行えず、結果的に工作機械のプログラム更新や段取り替えができなくなる。
したがって、ファイルサーバーの復旧計画を整備することは量産体制維持のためにも重要である

設計情報は秘密情報として取り扱うと書いてあったのに、ファイルサーバでアクセス権をつけているだけで、それで良いのか？と思い、DLPツールを導入すると書きました。ダメか…

自己変化 暗号化 としました
メタモルフィックマルウェアとかありませんでしたっけ？
多分正解はメタモトカなんでしょうが怖かったので自己変化としました

連投すみません。
最後の記述は事業継続に関する話になっていますが、単純にファイルサーバから機密情報が流出するというのは駄目なのでしょうか？
ランサムの被害って暗号化されたことより、流出のほうが被害としては事業に大きな影響を与えている気がしなくもないです。ファイルサーバは不自然なくらいにノータッチでしたよね。

ファイルサーバが攻撃されて設計情報などの機密情報が流出する
ファイルサーバに保存するデータを暗号化する方法
ファイルサーバにファイルを保存するときの暗号化方式などを定めた手順

もう一個は単純に通報窓口設置とかでも良いのかなと。

マルウェア感染確認時に通報するための窓口
マルウェア感染確認時に関する初動を纏めた手順

以上のようにしました。

>156
勘違いだったらすみませんが

最後の記述は被害が実際に起こった時に必要な仕組みと手順という前提でいくと
ファイルサーバの暗号化などは被害を未然に防ぐ仕組みになると思っていて少しズレる気がします

通報窓口のところはソフトウェアやハードウェアなど
と言われているのが気になるところなのと
シナリオは既に感染が広がった状態なので初動対応になっているのも気になります

もちろん採点基準が分からないのでなんとも言えませんが

もじやさん
言われると暗号化は怪しく感じてきましたね…うーん難しい。

これどうなんだろう。
確かにSCADAに広がっちゃってますねぇ。
すごいスッキリする解説をありがとうございました。

この投稿は投稿者により削除されました。(2025.10.15 09:47)

設問1 a 圧縮された

だと、×ですかね？（この回答を空欄に埋め込んでも、当てはまるるような気がするんですけど・・）

この投稿は投稿者により削除されました。(2025.10.15 10:19)

>No.160

zipなどの圧縮ファイルもチェック可能なセキュリティ製品があります。
採点者次第ですが部分貰えれば良い方かと。

検出できないと書かれてるので、0%ではない圧縮させたマルウェアは不正解ですね…配点1、2点だと思うので、×ですね。設問3以降は全て埋めましたが、全く期待できないので、問1、2で不正解食らったのは痛い…

問5はファイルサーバーがランサムに感染するって書いたけど間違いみたいですね。明日のtacの解答が出るみたいですがどうなるんでしょうか

設問４（２）について、

残り５分で大急ぎで書いたので記憶が曖昧ですが、

ｊ「偶発的ではない故障を意図的に起こした攻撃による、２時間を超える業務停止」
ｋ「追加手順書作成後、復旧演習を行う」
ｌ「復旧までの時間計測、２時間を超えた場合の新復旧計画を作成」

２時間を超過する危険性は極めて高いと考え、
とにかく演習しなきゃダメ！って急いで書きました。

日本語的にかなりヘンですな．．．

別に経験した訳でありませんが、製造系に本格的なインシデントが発生したら２時間で収束するのはまず不可能かと推測します。準備していても７２時間で迅速な方ではないか。

USBでデータを受け渡している点も、某大事件を彷彿させます。

あまり触れられていないですが、NC PC(マルウェア対策あり)↔︎SCADA操作用PC(マルウェア対策なし)間をUSBメモリが行き来しているのはIPAが用意した問題なのではと考えました。
後の方でSCADA操作用PCにマルウェア対策ソフトを導入する対策が記載されてますが、パターンマッチング型以外に対応できていない所もミソかなと。
考えすぎですかね。

記録用。

設問1 a:未知の、b:暗号化
設問2（1）c:転嫁、d:除去、e:許容
   （2）総務課：×××
     営業部：○○×
     製造部設計課：○××
     製造部製造課：〇××
設問3：ｆ:（し）に SCADA-工作機械の通信のみを許可した FW 
    g:(す）に通常の通信内容を学習させた IPS
設問4（1）h:工作機械操作用PCを用いて制作を行う
     i:工作機械用OCの操作手順
   （2）j:暗号化されたファイルを解凍後、ファイルサーバ（FSV)にアップロードした後、FSVがランサムウェアに感染してファイルが暗号化される。
     k定時バックアップファイル（ROM)の保管と隔離
     l:バックアップ手順

ランサムウェアを2時間で復旧できるなら今すぐアサヒビールに行って助けてきてあげてください！！

正解:電話とFAXで受注できる体制を整えておく

電子メールは攻撃シナリオでマルウェア対策が導入、全く触れられてないけどWebアクセスもSaaSのWebプロキシで保護されている。
その上FWでVPNの待ち受けもしていないので、L社がランサムをくらう可能性はそこまで高くないのでは…
TACの問4の(2)の解答が気になる。

設問1
a:定義のない
って回答してしまった。。

itecの解答例はランサムウェアでしたね

この投稿は投稿者により削除されました。(2025.10.16 16:48)

製造部製造部は書込権限不要なんですか？ファイルを保存する必要があると記載があったので必要かと思ったのですが。

この投稿は投稿者により削除されました。(2025.10.16 18:52)

ランサムウェアから2時間で復旧できるんやったら、部品メーカー廃業してセキュリティコンサルタントに鞍替えした方がええんちゃうか？

>177
そこはどういう想定でいくかの話だと思います
ファイルサーバのみが被害にあったというシナリオにすればオフラインバックアップをしておけば製造の再開は可能ですよね？
アサヒビールやニコニコのようにシステムやDBなど広範囲にやられると再開は難しいと思います

ついでにいうと今回は復旧ではなく、再開です
メインサイトで災害が起きた時にバックアップサイトに切り替えることを考えればわかりやすいですが
バックアップサイトに切り替えることで再開はできますよね？
ですがその裏でメインサイトの復旧は必要になります

問4の採点で解答例以外認められないなら詰みで草

この投稿は投稿者により削除されました。(2025.10.16 18:22)

>175
表3の対象は『設計情報ファイル』だけですね。設計図ファイルの保存領域の話ではないから✖️ですね…私も間違えました…

>181
ありがとうございます。理解できました。

設問3：g

・マルウェア対策ソフトはEDRとは違う。
・「不正な操作」で停止みたいなことが書いてある。（不正な操作を検知してブロックせよと言ってる気がした）
・fがインフラ対策の知識問題。（同じ設問3の（g）も同じ類の問題の可能性が高そう）
・操作マシン前にチェックするのも、操作マシン接続後のリアルタイムチェックするのも同じ。
・マルウェア対策ソフトだけだと完全ではない。

などなどを考えて、「操作PCにEDRを導入して、不正操作を検知、ブロックする。
」と書いてしまったが、アイテックもTACも普通の解答を出してきた。これが正解なのかな・・・？

ランサムウェアしか思いつかなかったのに、ランサムがマルウェアに包含されると思ったから一個上の項と被るやんって書けなかった

情報セキュリティ白書2025のP45あたりから出題とほぼ同じ内容が載ってますね

kのとこファイルサーバのバックアップって書いたけどバックアップって仕組みなのか？もう少し具体性とかいったんかな？

> No.130
4⑵、予備校の解答など見る感じ、やはり工作機械操作用PCに関する内容は厳しそうですね。。
部分点もらえればラッキー、くらいに思っときます。それも厳しそうですが。

できるだけと書いてありますので、解答に説得力があれば、部分点はもらえそうな感じもしますが、IPAがランサムと書いてほしい意図があるなら×になりそう。あと、今回は皆ができてますので、あまり甘い採点や別解は期待できない感じがします。平均点60点以上とかになってしまいそう。得点分布を見ると、毎回50~55が平均点ぽいですし、今回もそのように調整してくるのかなと。

皆ができているとあなたが断言できるのも謎ですし
みんなができていると採点が厳しくなる理論もよく分かりません
みんなができているかは採点が終わらないと分からないわけで
採点者は基準に従って採点するだけでしょう
その上でいわゆる素点ではなく偏差値のようなものを使っているという説に沿って
みんなができていれば点数が低く出るという論理であれば分かりますが

この掲示板、xなどを見れば、できてるかできてないかは概ね察しはつくと思います。皆ができているときに甘い採点していたら、年度によって大きなバラツキがでるはずですよ。Ipaは午後も相対評価ではないと回答してますから、配点などを調整して、合格率にブレがでないようにしてるんではないですかね。自分自信の手応えが60点ギリギリの場合、皆ができてないでほしい、採点が甘くなってほしいと思うのかもしれませんが。

採点基準も配点も、サンプリング採点して、問題の難易度判定を行い、その結果を踏まえて微調整なんてことは十分に考えられます。真相はわかりませんが。ipaもお国から試験を委託されている以上、難易度は一定に保たなければいけないわけですから、平均点が毎年大橋にぶれてしまうと、出題している側に問題があることになってしまいます。

多くの受験者が出題の意図をあーだこーだ考えても、納得のできる解に収束しないって出題側に問題があるように思えます
（解が複数あるなら別ですが）

設問4の問3と問4で素直な問題出てれば受かってたかもしれん。

>191
おっしゃる通り事前に調整する方法もあれば
採点後に調整する方法もありますよね
どちらかは分からないはずですが、なぜそのような発言をしたのかということです
みんなができていると断言している理由も分かりません
IPAの採点講評で難易度が易という評価でなければ謝れますか？

謝ります。ごめんなさい。

ごめんなさい

ごめんなさい。

まだ間に合います

抽象的な問である以上は別解は必ず認められると思うので、後は祈るのみ！

ごめんなさい。

ごめんなさい。

申し訳ありませんでした。

ごめんなさい。

問1や問2(1)、(2)のような問題って、一つ間違っていれば点数無しになるのではないでしょうか？

それとも、（1）のような問題で一つだけ間違えていても、残り2つ分の配点はもらえるのでしょうか？
IPAの采配ですが、例年の合格状況などから傾向はわかりそうなものですが…

私も設問4で、jの被害のシナリオに「謝罪を要求される」と書いたのですが、lに埋めるべき必要な手順としては「謝罪する」でよかったでしょうか？
家帰ってから考えていたのですが、2時間で復旧できるのかという部分で悩んでいます、、、

「アクセス権（◯、✖️）」の配点は３つ正解しないと駄目かと思います。
TACは12マスをそれぞれ一点としてますが、
おそらく一列（三つ）まとめの整合確認が求められると想定されます。

あの◯✕問題で本当に12点も貰えるのかね
あれで12点なら確実に受かってるけど…

謝罪は被害後に発生しうる対顧客問題なので解答としてはちょっとずれているかと

悔しいなぁ。
最後の問題、最初はファイルサーバのランサムの線で書いてたけど、「ファイルサーバのデータは確かに秘密情報だけど、試作段階だから製造の停止の被害想定シナリオに含まれなくないか？(量産ができることを最優先に考えなければいけないのでは？)」と深読みして、量産段階のシナリオに主眼当てた書き方にしちゃった。 

そうかぁ、試作段階も製造に含むのか。
ただそうであるなら、「試作時及び量産時の製造」って、もう少し具体的に絞って欲しかったなぁ。

ところでア〇クルがランサムウェアに感染したらしいけどランサムウェアについて書いた人たちは2時間以内に復旧余裕だよな？
すごいなー

安全確保支援士の午後問題を解くときの基本として、「その会社規模にあった」の原理があると思います。
ランサムって聞くと、出版のK社とか、ビールのA社、最新のA社とか想像しますが、それは1000人越えの超大規模企業です。

今回の問4はほぼ1社としか取引がない100人くらいの部品製造会社です。
置いてあるサーバーもファイルサーバーとLDAPくらいしか問題から読み取れないので、製造の再開までなら2時間でもいける可能性は高いです。
実際、小さい会社は警察への通報とかもせずに怪しい機材を切り離して復旧優先で動くことも多いみたいです。
で、２回目の被害にあうところまでセットが多そうな印象です。

というわけで、ランサムって書いたけどアスクルは無理や。
今年多いですよね大企業ランサム。怖い。

L社において起こる可能性が高い攻撃はランサムなのか？本当に？
ランサムに辿り着く理由が分からないんだけど、まさかIPAの10大脅威1位だからなんて浅い理由ではないよな。。

マジでこれで公式解答例がランサムだったらあんま納得いかないなあ、まあ終わったことだし切り替えやな

ランサムはバックアップデータも暗号化するのでバックアップデータをオフライン環境に保管するというのがポイントになりそうですよね。

>194
皆できてると言ってますから、できてるのだと思いますよ。ただ、実際に得点がもらえるという保証はありません。具体的な説明を要求される問題が多いですからね。事前に決めた採点基準や配点などを後から微調整することは普通にあります。出題者側の想定外の結果になることもありますので、見直しが必要。そうすることで、一定のラインを維持できますから。

まぁ、できたと感じた人の方が積極的に発信している可能性はありますよね。
私ならもし合格点に達していないようであれば、掲示板やXにできませんでしたと投稿しないと思います。

fにEDRを入れるみたいなこと書いたんだけど部分点あるかなあ・・・

>216
前回はできません報告ばかりでした。逆に今回は易化した、できたという報告ばかり。専門性を要求される問題は減り、解答を書きやすくなったためではないかと。自分も前回は難しいと感じて、50点台で不合格でした。しかし、今回は簡単になったと感じて、70点超えそうな手応えです。実力は前回とさほど変わってはいないと思うので、このままの得点になるわけはないなと思っています。75点→60~65点くらいになるか、下手すると60点下回って、前回と同じ結果になるかも？と思ってます。

>217
できるだけ効果が高いものとあるので、部分点の可能性はあるかと思います。

問題文を見ると、一般PCからの感染対策を解答してほしいように読み取れますが、PCに感染した後、NCプログラムが使えなくならないための対策を書いても有効な対策になる気もします。そうなると、アクセス権の設定、EDRで不正アクセスや改ざんなどをブロックする等が候補になりそうですが、EDRという解答を書かせたいのは、fではなく、gの方な気がしています。攻撃シナリオの文章に不正操作によるシステム停止と書かれていますので。不正操作を検知してブロックしたのは、こっちなのかなと。TACやITECの模範解答だと、問題文にあるマルウェア対策ソフト導入（たぶんリアルタイムモニターも有効にする前提）と同じ効果になってしまい、あまり導入効果はないのかなと思っています。

システムの不正操作検知と違って、プログラム保存領域の改竄行為なら、マルウェア対策ソフトでも可能ですから、やっぱり、gでedrは部分点なしかもしれませんね…