情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある。G社がCSIRTを設置する目的として、最も適切なものはどれか。
全社のシステムに対する脆弱性診断を定期的に実施し、修正計画を立案する。
従業員向けセキュリティ教育の年間計画を策定し、研修を運営する。
ファイアウォールやIDSなどの防御機器を導入・運用し、攻撃を未然に遮断する。
検知から封じ込め・社内外連絡までの窓口と指揮を一つに束ねる体制を整える。
正解
検知から封じ込め・社内外連絡までの窓口と指揮を一つに束ねる体制を整える。

G社の課題は『個別対応による混乱』である。CSIRT(Computer Security Incident Response Team)は検知・分析・封じ込めから社内外連絡の窓口までを一つの指揮系統に束ね、対応の指揮系統と情報集約を一本化して被害最小化を図る専門組織であり、課題に直接対応している。

?選択肢ごとの解説

ア ×脆弱性診断と修正計画は事前の予防・是正活動であり、インシデント発生時の対応統括というCSIRTの中核目的とは異なる。
イ ×セキュリティ教育の計画・運営は人的対策であり、インシデント対応の一元統括という目的には該当しない。
ウ ×防御機器の導入・運用は侵入の未然防止が目的であり、発生後の対応を統括するCSIRTの役割とは異なる。
エ ○G社の課題は『個別対応による混乱』である。CSIRT(Computer Security Incident Response Team)は検知・分析・封じ込めから社内外連絡の窓口までを一つの指揮系統に束ね、対応の指揮系統と情報集約を一本化して被害最小化を図る専門組織であり、課題に直接対応している。

くわしく

セキュリティ活動は『予防(防御機器・教育・診断)』と『事後対応(検知・封じ込め・復旧・連絡)』に大別される。CSIRTは後者を専門に担う司令塔であり、予防活動と役割を混同しないことが理解の鍵である。

本番での押さえどころ

試験のコツ

CSIRT=インシデント対応の司令塔。設置目的を問われたら『発生後の検知・対応・連絡の一元化』を選ぶ。

覚え方

CSIRTの『IR』はIncident Response(事故対応)。火事が起きてからの消防隊と覚える。

よくある誤り

CSIRTを『何でもやるセキュリティ部門』と捉え、診断や教育(予防活動)まで主目的に含めてしまう。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0007

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問