情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
H社では、各種機器のログやアラートを夜間・休日も含めて常時監視し、攻撃の兆候を早期に検知して一次対応へつなげる専門チームの新設を検討している。このチーム(SOC)に期待する役割として、最も適切なものはどれか。
顧客から自社製品への機能改善要望を集約し、開発部門へ仕様変更を依頼する。
システムの稼働率向上に向け、サーバ増設計画の立案と予算策定を主導する。
従業員から寄せられる一般的なIT操作の問合せに応じ、業務システムの使い方を案内する。
機器のログやアラートを常時監視・分析し、攻撃の兆候を検知して対応部門へ引き継ぐ。
正解
機器のログやアラートを常時監視・分析し、攻撃の兆候を検知して対応部門へ引き継ぐ。

SOC(Security Operation Center)は、ファイアウォールやIDS、サーバ等のログ・アラートを24時間体制で監視・分析し、攻撃や異常の兆候を早期に検知して一次対応や対応部門(CSIRT)への通報を行う、セキュリティ監視の専門組織である。設問の役割そのものである。

?選択肢ごとの解説

ア ×顧客要望の収集と開発依頼は製品企画やサポートの業務であり、セキュリティ監視を担うSOCの役割ではない。
イ ×サーバ増設や予算策定はインフラ運用・調達の業務であり、脅威の監視・検知というSOCの役割とは異なる。
ウ ×IT操作の問合せ対応はヘルプデスクの役割であり、攻撃兆候の常時監視を行うSOCとは目的が異なる。
エ ○SOC(Security Operation Center)は、ファイアウォールやIDS、サーバ等のログ・アラートを24時間体制で監視・分析し、攻撃や異常の兆候を早期に検知して一次対応や対応部門(CSIRT)への通報を行う、セキュリティ監視の専門組織である。設問の役割そのものである。

くわしく

SOCは『監視・検知・分析』に特化し、CSIRTは『発生後の対応統括』を担うという役割分担が一般的である。SOCが脅威を検知してCSIRTへ引き継ぐ連携が、早期検知から迅速対応への流れを支える。両者の違いの理解が問われやすい。

本番での押さえどころ

試験のコツ

SOC=セキュリティの常時監視・検知・分析の専門組織。発生後の対応統括はCSIRT。役割の切り分けを押さえる。

覚え方

SOCの『O』はOperation(監視運用)。常に画面を見張る監視室、火災を見つける火災報知の番人。

よくある誤り

SOCをヘルプデスクやインフラ運用と混同する。SOCはセキュリティの常時監視・検知に特化した組織である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0128

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問