【問203】個人情報保護士 練習問題|インシデント対応
情報セキュリティ 問23/120難易度B(標準)
問題文
情報セキュリティインシデントが発生した際の初動対応として、最も適切なものはどれか。
- 1.被害の拡大を防ぐため、直ちにネットワークからの遮断等の応急措置を行う
- 2.原因の特定を最優先し、詳細なフォレンジック調査を開始する
- 3.経営層への報告を行い、対応の指示を待ってから行動する
- 4.再発防止策を策定し、全社に周知する
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
インシデント発生時の初動対応では、被害の拡大防止が最優先です。ネットワーク遮断やシステム隔離などの応急措置を直ちに実施することが求められます。
選択肢2 → ❌誤り
フォレンジック調査は重要ですが、初動対応としては被害拡大防止が先です。調査は応急措置の後に行います。
選択肢3 → ❌誤り
経営層への報告は必要ですが、指示を待つ間に被害が拡大する恐れがあります。応急措置と並行して報告を行うべきです。
選択肢4 → ❌誤り
再発防止策の策定はインシデント対応の最終段階で行うものであり、初動対応ではありません。
背景知識
情報セキュリティインシデント対応は、一般的に「検知・連絡」「初動対応(トリアージ)」「調査・分析」「復旧」「再発防止」の段階で進められます。初動対応では、被害の拡大を防ぐための応急措置が最も重要です。JIS Q 27001(ISMS)やNIST SP 800-61でも、インシデント対応において封じ込め(Containment)を初期段階で行うことが推奨されています。迅速な判断と行動が被害を最小限に抑える鍵となります。
学習アドバイス
インシデント対応の各フェーズ(検知→初動→調査→復旧→再発防止)の順序と、各フェーズで行うべき具体的な活動を整理して覚えましょう。特に初動対応の重要性は試験でもよく問われます。
まとめ
- インシデント発生時は被害拡大防止が最優先
- 応急措置と報告は並行して行う
- 再発防止策は対応の最終段階で策定する