情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
A社の運用担当者の元へ、監視ツールから『深夜に経理サーバから海外IPへ大量のデータ送信があった』という1件のアラートが届いた。担当者は他にも多数のアラートを抱えている。インシデント対応プロセスの検知・分析段階として、このアラートに最初に行うべきことはどれか。
通信先・送信量・対象データを照合し、真の侵害か誤検知かを見極めて他案件との対応順位を決める。
確定情報を待たずに経理サーバを含む社内の全サーバを一斉に停止し、業務を止めて拡大を遮断してしまう。
過去に類似アラートが誤検知だった実績を根拠に、今回も同様とみなして対応を保留する。
同種アラートの再表示を抑えるため監視ルールのしきい値を引き上げ、通知頻度を下げる。
正解
通信先・送信量・対象データを照合し、真の侵害か誤検知かを見極めて他案件との対応順位を決める。

インシデント対応の検知・分析段階の役割は、アラートが真のインシデントか誤検知かを判別し、重大度と影響範囲を評価して対応優先度を決めること(トリアージ)である。通信先・送信量・対象データを確認することで、後続の封じ込めや報告の判断材料が得られる。

?選択肢ごとの解説

ア ○インシデント対応の検知・分析段階の役割は、アラートが真のインシデントか誤検知かを判別し、重大度と影響範囲を評価して対応優先度を決めること(トリアージ)である。通信先・送信量・対象データを確認することで、後続の封じ込めや報告の判断材料が得られる。
イ ×分析を飛ばした全サーバ停止は、誤検知だった場合の業務損失が甚大で、影響範囲に見合わない過剰反応である。
ウ ×過去の誤検知実績を理由に保留するのは確証バイアスで、海外への大量送信という漏えいの兆候を分析せず見逃すおそれがある。
エ ×しきい値を引き上げる行為は脅威の兆候そのものを通知から消す対応で、検知能力を自ら損なう。

くわしく

インシデント対応プロセス(検知・分析→封じ込め→根絶→復旧→教訓)の入口である検知・分析では、限られた人員で多数のアラートを捌くためトリアージが不可欠である。重大度(影響度×緊急度)で優先順位を付け、確証を得てから次段階へ進む。

本番での押さえどころ

試験のコツ

検知・分析段階の問いは『確認・評価して優先度を決める(トリアージ)』が正解。即停止も放置も分析の欠如として誤り。

覚え方

対応は『見て・確かめて・動く』。アラートはまず確かめる(トリアージ)が第一歩。

よくある誤り

アラートを見た瞬間に封じ込め(停止)へ飛ぶ、または逆に放置する両極端に陥る。まず分析して事実を固める段階があることを見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0121

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問