情報セキュリティマネジメント試験(SG)の「インシデント管理・CSIRT」分野のオリジナル予想問題を5問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
セキュリティ事故(インシデント)は「起きない」前提ではなく「起きる」前提で備える分野です。検知から復旧・再発防止までの流れと、司令塔となるCSIRTの役割を理解します。
インシデント対応は、①検知・受付 → ②トリアージ(優先度判断)→ ③初動・封じ込め → ④復旧 → ⑤事後対応・再発防止、という流れで進みます。大切なのは「まず被害を止める(封じ込め)こと」と「原因究明のための証拠を壊さないこと」の両立です。ここでログや通信記録を法的にも通用する形で保全するのがデジタルフォレンジックスです。
この一連の対応を組織として回す専門チームがCSIRT(Computer Security Incident Response Team)です。日頃から連絡体制・エスカレーション手順を決めておき、事故時に迷わず動けるようにします。事業を止めない観点ではBCP(事業継続計画)とも連携します。本試験でも「対応の順序」「CSIRTの役割」「証拠保全」はよく問われます。
CSIRTの役割として最も適切なものはどれか。
正解イ。CSIRT(Computer Security Incident Response Team)はインシデント対応の専門組織で,検知・初動・復旧・再発防止・情報共有を担う。
PCのマルウェア感染が疑われるとき,被害拡大を防ぐための初動として最も適切なものはどれか。
正解ウ。初動は隔離(ネットワーク遮断)と速やかな報告。他端末への感染拡大や情報送信を止めることが最優先。自己判断の操作や放置は被害を広げる。
組織のシステムやネットワークを常時監視し,サイバー攻撃の検知・分析を専門に行う組織はどれか。
正解エ。SOCは常時監視・検知・分析を担う。インシデント対応を担うCSIRTと連携する。
不正アクセスやその兆候を早期に把握するための運用として最も適切なものはどれか。
正解ア。ログは取得するだけでなく,定期的な点検・分析と異常検知の体制があってはじめて不正の早期発見につながる。即時削除や閲覧不能化は追跡を妨げる。
インシデント発生時のCSIRTの役割として,最も適切なものはどれか。
正解ア。CSIRT(Computer Security Incident Response Team)はインシデントの受付・分析・対応・再発防止を担う専門チーム。平時の予防・教育も含むが,中核はインシデント対応の指揮。人事評価や売上設定は役割外。