基本情報技術者試験「インシデント対応」の問題
G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある。G社がCSIRTを設置する目的として、最も適切なものはどれか。
ア全社のシステムに対する脆弱性診断を定期的に実施し、修正計画を立案する。
イ従業員向けセキュリティ教育の年間計画を策定し、研修を運営する。
ウファイアウォールやIDSなどの防御機器を導入・運用し、攻撃を未然に遮断する。
エ検知から封じ込め・社内外連絡までの窓口と指揮を一つに束ねる体制を整える。
正解
エ.検知から封じ込め・社内外連絡までの窓口と指揮を一つに束ねる体制を整える。
G社の課題は『個別対応による混乱』である。CSIRT(Computer Security Incident Response Team)は検知・分析・封じ込めから社内外連絡の窓口までを一つの指揮系統に束ね、対応の指揮系統と情報集約を一本化して被害最小化を図る専門組織であり、課題に直接対応している。
?選択肢ごとの解説
ア ×脆弱性診断と修正計画は事前の予防・是正活動であり、インシデント発生時の対応統括というCSIRTの中核目的とは異なる。
イ ×セキュリティ教育の計画・運営は人的対策であり、インシデント対応の一元統括という目的には該当しない。
ウ ×防御機器の導入・運用は侵入の未然防止が目的であり、発生後の対応を統括するCSIRTの役割とは異なる。
エ ○G社の課題は『個別対応による混乱』である。CSIRT(Computer Security Incident Response Team)は検知・分析・封じ込めから社内外連絡の窓口までを一つの指揮系統に束ね、対応の指揮系統と情報集約を一本化して被害最小化を図る専門組織であり、課題に直接対応している。
✎くわしく
セキュリティ活動は『予防(防御機器・教育・診断)』と『事後対応(検知・封じ込め・復旧・連絡)』に大別される。CSIRTは後者を専門に担う司令塔であり、予防活動と役割を混同しないことが理解の鍵である。
✓本番での押さえどころ
試験のコツ
CSIRT=インシデント対応の司令塔。設置目的を問われたら『発生後の検知・対応・連絡の一元化』を選ぶ。
覚え方
CSIRTの『IR』はIncident Response(事故対応)。火事が起きてからの消防隊と覚える。
よくある誤り
CSIRTを『何でもやるセキュリティ部門』と捉え、診断や教育(予防活動)まで主目的に含めてしまう。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0007