セキュリティ

インシデント管理・CSIRTの予想問題・解説

情報セキュリティマネジメント試験(SG)の「インシデント管理・CSIRT」分野のオリジナル予想問題を5問、正解と解説つきで無料公開しています。登録なしで読めます。

※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。

この分野について

セキュリティ事故(インシデント)は「起きない」前提ではなく「起きる」前提で備える分野です。検知から復旧・再発防止までの流れと、司令塔となるCSIRTの役割を理解します。

インシデント対応は、①検知・受付 → ②トリアージ(優先度判断)→ ③初動・封じ込め → ④復旧 → ⑤事後対応・再発防止、という流れで進みます。大切なのは「まず被害を止める(封じ込め)こと」と「原因究明のための証拠を壊さないこと」の両立です。ここでログや通信記録を法的にも通用する形で保全するのがデジタルフォレンジックスです。

この一連の対応を組織として回す専門チームがCSIRT(Computer Security Incident Response Team)です。日頃から連絡体制・エスカレーション手順を決めておき、事故時に迷わず動けるようにします。事業を止めない観点ではBCP(事業継続計画)とも連携します。本試験でも「対応の順序」「CSIRTの役割」「証拠保全」はよく問われます。

押さえておきたい用語

インシデント
情報セキュリティを脅かす事象やその予兆。実害の有無を問わない。
CSIRT
インシデント対応を担う専門チーム。検知・調整・再発防止の司令塔。
トリアージ
多数の事象に優先順位をつけ、重大なものから対応する判断。
封じ込め
被害の拡大を止める初動(隔離・遮断など)。原因究明より先に行うことが多い。
デジタルフォレンジックス
法的証拠となるデータを収集・保全・分析する手続き。
エスカレーション
重大度に応じて上位者・専門部署へ引き上げる連絡の仕組み。

学習のポイント

  • 「封じ込め(被害を止める)」と「証拠保全(壊さない)」の両立が問われやすい。
  • 連絡ルートが重大度に関係なく一律だと不適切、という指摘系の問題が頻出。
  • CSIRTは“技術”だけでなく“調整・報告”の役割が中心、という点を押さえる。

予想問題と解説(5問)

  1. 科目A・単一選択

    CSIRTの役割として最も適切なものはどれか。

    • 従業員の人事評価を行う
    • セキュリティインシデントの検知・対応・再発防止を担う 正解
    • ソフトウェアの新機能を開発する
    • 製品の販売促進を行う
    解説

    正解イ。CSIRT(Computer Security Incident Response Team)はインシデント対応の専門組織で,検知・初動・復旧・再発防止・情報共有を担う。

  2. 科目A・単一選択

    PCのマルウェア感染が疑われるとき,被害拡大を防ぐための初動として最も適切なものはどれか。

    • PCを再起動して通常業務を続ける
    • 自分でOSを再インストールする
    • 感染が疑われるPCをネットワークから切り離す 正解
    • しばらく様子を見る
    解説

    正解ウ。初動は隔離(ネットワーク遮断)と速やかな報告。他端末への感染拡大や情報送信を止めることが最優先。自己判断の操作や放置は被害を広げる。

  3. 科目A・単一選択

    組織のシステムやネットワークを常時監視し,サイバー攻撃の検知・分析を専門に行う組織はどれか。

    • PMO
    • ヘルプデスク
    • データセンタ
    • SOC(Security Operation Center) 正解
    解説

    正解エ。SOCは常時監視・検知・分析を担う。インシデント対応を担うCSIRTと連携する。

  4. 科目B・単一選択

    不正アクセスやその兆候を早期に把握するための運用として最も適切なものはどれか。

    • ログを定期的に点検・分析し,異常なアクセスを検知できる体制を整える 正解
    • ログは取得するだけで内容は確認しない
    • ディスク節約のためログを取得後すぐに削除する
    • ログを暗号化して誰も読めないようにする
    解説

    正解ア。ログは取得するだけでなく,定期的な点検・分析と異常検知の体制があってはじめて不正の早期発見につながる。即時削除や閲覧不能化は追跡を妨げる。

  5. 科目A・単一選択

    インシデント発生時のCSIRTの役割として,最も適切なものはどれか。

    • セキュリティインシデントの報告受付・原因調査・対応の指揮など,対応活動の中心を担う 正解
    • 従業員の人事評価を行う
    • 製品の売上目標を設定する
    • 通常時のヘルプデスク業務だけを専門に行う
    解説

    正解ア。CSIRT(Computer Security Incident Response Team)はインシデントの受付・分析・対応・再発防止を担う専門チーム。平時の予防・教育も含むが,中核はインシデント対応の指揮。人事評価や売上設定は役割外。

続きを解いて実力チェック 無料登録で練習モード・本番モード・弱点分析が使えます →