情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
E社では、一連のインシデント対応を終えてシステムを通常運用へ復旧させた。同種の事故を繰り返さないために行うべき、インシデント対応プロセスの最後の段階での活動として、最も適切なものはどれか。
対応の経緯と原因・課題を関係者で検証し、得た知見を手順や対策の改定へ落とし込む。
通常運用へ戻って一区切りついたとみなし、対応の記録は保管せず破棄する。
事故を起こした責任者を特定して処分することを主目的に据え、その観点で調査を一からやり直す。
次に同じ対応を再現できるよう、今回の手順を変更せずそのまま保持する。
正解
対応の経緯と原因・課題を関係者で検証し、得た知見を手順や対策の改定へ落とし込む。

インシデント対応の最終段階『教訓(事後レビュー/ポストモーテム)』では、何が起き、対応のどこが良く・どこに課題があったかを関係者で振り返り、得られた知見を手順書・体制・技術対策の改善へ反映する。これが再発防止と組織の対応力向上につながる。

?選択肢ごとの解説

ア ○インシデント対応の最終段階『教訓(事後レビュー/ポストモーテム)』では、何が起き、対応のどこが良く・どこに課題があったかを関係者で振り返り、得られた知見を手順書・体制・技術対策の改善へ反映する。これが再発防止と組織の対応力向上につながる。
イ ×対応記録は教訓の抽出や将来の同種事案の参照、説明責任のために重要であり、一区切りを理由に破棄するのは学びを失う行為である。
ウ ×個人の責任追及を主目的にすると、関係者が情報を隠し率直な振り返りができなくなり、再発防止という本来の目的が損なわれる。
エ ×手順を変更せず保持するだけでは今回露呈した課題が改善されず、同じ事故を繰り返すリスクが残る。

くわしく

教訓フェーズは、対応の有効性を客観的に評価し改善へつなげる学習サイクルの要である。責任追及ではなく原因と仕組みの改善に焦点を当てる『非難なき振り返り』が、率直な情報共有と継続的改善(PDCA)を促す。

本番での押さえどころ

試験のコツ

対応の最終段階は『教訓』。振り返って手順・対策へ反映が正解。記録破棄や個人の責任追及最優先は誤り。

覚え方

対応の締めは『振り返って次に活かす』。記録を残し、犯人探しでなく仕組み改善。

よくある誤り

復旧で対応完了と考え事後レビューを省く、または振り返りを犯人捜しにしてしまい本来の改善目的を見失う。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0125

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問