An incident response plan (IRP) is a document that defines the roles and responsibilities, procedures, and guidelines for responding to a security incident. It helps the security team to act quickly and effectively, minimizing the impact and cost of the incident. An IRP should specify who should conduct the next steps following a security event, such as containment, eradication, recovery, and analysis12. Reference: CompTIA CySA+ CS0-003 Certification Study Guide, page 362; 6 Incident Response Steps to Take After a Security Event, section 2.

Explanation
The correct answer is C. Legal department.
According to the CompTIA Cybersecurity Analyst (CySA+) certification exam objectives, one of the tasks for a security analyst is to "report and escalate security incidents to appropriate stakeholders and authorities" 1.
This includes reporting any inappropriate use of resources, such as installing cryptominers on workstations, which may violate the company's policies and cause financial and reputational damage. The legal department is the most appropriate group to escalate this issue to first, as they can advise on the legal implications and actions that can be taken against the employee. The legal department can also coordinate with other groups, such as law enforcement, help desk, or board members, as needed. The other options are not the best choices to escalate the issue to first, as they may not have the authority or expertise to handle the situation properly.

包括的かつ詳細な説明：
シミュレーション（卓上演習や本格的な IR ドリルなど）は、運用に影響を与えずに現実世界での準備状況を実証する最良の方法です。
* オプション A (学んだ教訓とプレイブックのレビュー) は価値がありますが、準備状況を積極的にテストするものではありません。
* オプション C (マルウェアの展開) は、実稼働環境では非常に危険であり、非倫理的です。
* オプション D (災害復旧サイトのテスト) は、セキュリティ インシデントへの対応ではなく、DR に重点を置いています。
したがって、シミュレーションでは運用を中断することなくインシデント対応能力を効果的にテストできるため、B が最適な選択肢です。

When documenting a physical incident in a network data closet, taking photos provides a clear and immediate record of the situation, which is essential for thorough incident documentation and subsequent investigation.
Proper documentation of an incident in a data closet should include taking photos of the impacted items. This provides visual evidence and helps in understanding the physical context of the incident, which is crucial for a thorough investigation. Backing up configuration files, recording connections, and creating network diagrams, while important, are not the primary means of documenting the physical aspects of an incident.

システム起動時に実行されるように設定された新しいプログラムが、発生している不審なアクティビティの原因として最も可能性が高いと考えられます。これは、マルウェアがシステムのレジストリキーを変更して永続性を確保していることを示唆しています。ファイル整合性監視（FIM）は、システム上のファイルやレジストリキーの変更を監視し、不正または悪意のある変更があった場合にセキュリティアナリストに警告するツールです。FIMによってトリガーされた警告は、マルウェアがRunサブキーの下に新しいレジストリキーを作成したことを示しています。このキーは、システム起動時にプログラムを自動的に起動するために使用されます。この新しいレジストリキーは、Tempフォルダ内の「update.exe」というファイルを指し示しており、これは正規のアップデートファイルを装った悪意のある実行ファイルである可能性があります。公式リファレンス：
* https://www.comptia.org/blog/the-new-comptia-cybersecurity-analyst-your-questions-answered
* https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
* https://www.comptia.org/training/books/cysa-cs0-002-study-guide