基本情報技術者試験「インシデント対応」の問題
E社では、一連のインシデント対応を終えてシステムを通常運用へ復旧させた。同種の事故を繰り返さないために行うべき、インシデント対応プロセスの最後の段階での活動として、最も適切なものはどれか。
ア対応の経緯と原因・課題を関係者で検証し、得た知見を手順や対策の改定へ落とし込む。
イ通常運用へ戻って一区切りついたとみなし、対応の記録は保管せず破棄する。
ウ事故を起こした責任者を特定して処分することを主目的に据え、その観点で調査を一からやり直す。
エ次に同じ対応を再現できるよう、今回の手順を変更せずそのまま保持する。
正解
ア.対応の経緯と原因・課題を関係者で検証し、得た知見を手順や対策の改定へ落とし込む。
インシデント対応の最終段階『教訓(事後レビュー/ポストモーテム)』では、何が起き、対応のどこが良く・どこに課題があったかを関係者で振り返り、得られた知見を手順書・体制・技術対策の改善へ反映する。これが再発防止と組織の対応力向上につながる。
?選択肢ごとの解説
ア ○インシデント対応の最終段階『教訓(事後レビュー/ポストモーテム)』では、何が起き、対応のどこが良く・どこに課題があったかを関係者で振り返り、得られた知見を手順書・体制・技術対策の改善へ反映する。これが再発防止と組織の対応力向上につながる。
イ ×対応記録は教訓の抽出や将来の同種事案の参照、説明責任のために重要であり、一区切りを理由に破棄するのは学びを失う行為である。
ウ ×個人の責任追及を主目的にすると、関係者が情報を隠し率直な振り返りができなくなり、再発防止という本来の目的が損なわれる。
エ ×手順を変更せず保持するだけでは今回露呈した課題が改善されず、同じ事故を繰り返すリスクが残る。
✎くわしく
教訓フェーズは、対応の有効性を客観的に評価し改善へつなげる学習サイクルの要である。責任追及ではなく原因と仕組みの改善に焦点を当てる『非難なき振り返り』が、率直な情報共有と継続的改善(PDCA)を促す。
✓本番での押さえどころ
試験のコツ
対応の最終段階は『教訓』。振り返って手順・対策へ反映が正解。記録破棄や個人の責任追及最優先は誤り。
覚え方
対応の締めは『振り返って次に活かす』。記録を残し、犯人探しでなく仕組み改善。
よくある誤り
復旧で対応完了と考え事後レビューを省く、または振り返りを犯人捜しにしてしまい本来の改善目的を見失う。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0125