基本情報技術者試験「インシデント対応」の問題
H社では、各種機器のログやアラートを夜間・休日も含めて常時監視し、攻撃の兆候を早期に検知して一次対応へつなげる専門チームの新設を検討している。このチーム(SOC)に期待する役割として、最も適切なものはどれか。
ア顧客から自社製品への機能改善要望を集約し、開発部門へ仕様変更を依頼する。
イシステムの稼働率向上に向け、サーバ増設計画の立案と予算策定を主導する。
ウ従業員から寄せられる一般的なIT操作の問合せに応じ、業務システムの使い方を案内する。
エ機器のログやアラートを常時監視・分析し、攻撃の兆候を検知して対応部門へ引き継ぐ。
正解
エ.機器のログやアラートを常時監視・分析し、攻撃の兆候を検知して対応部門へ引き継ぐ。
SOC(Security Operation Center)は、ファイアウォールやIDS、サーバ等のログ・アラートを24時間体制で監視・分析し、攻撃や異常の兆候を早期に検知して一次対応や対応部門(CSIRT)への通報を行う、セキュリティ監視の専門組織である。設問の役割そのものである。
?選択肢ごとの解説
ア ×顧客要望の収集と開発依頼は製品企画やサポートの業務であり、セキュリティ監視を担うSOCの役割ではない。
イ ×サーバ増設や予算策定はインフラ運用・調達の業務であり、脅威の監視・検知というSOCの役割とは異なる。
ウ ×IT操作の問合せ対応はヘルプデスクの役割であり、攻撃兆候の常時監視を行うSOCとは目的が異なる。
エ ○SOC(Security Operation Center)は、ファイアウォールやIDS、サーバ等のログ・アラートを24時間体制で監視・分析し、攻撃や異常の兆候を早期に検知して一次対応や対応部門(CSIRT)への通報を行う、セキュリティ監視の専門組織である。設問の役割そのものである。
✎くわしく
SOCは『監視・検知・分析』に特化し、CSIRTは『発生後の対応統括』を担うという役割分担が一般的である。SOCが脅威を検知してCSIRTへ引き継ぐ連携が、早期検知から迅速対応への流れを支える。両者の違いの理解が問われやすい。
✓本番での押さえどころ
試験のコツ
SOC=セキュリティの常時監視・検知・分析の専門組織。発生後の対応統括はCSIRT。役割の切り分けを押さえる。
覚え方
SOCの『O』はOperation(監視運用)。常に画面を見張る監視室、火災を見つける火災報知の番人。
よくある誤り
SOCをヘルプデスクやインフラ運用と混同する。SOCはセキュリティの常時監視・検知に特化した組織である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0128