【問210】個人情報保護士 練習問題|インシデント管理プロセス
情報セキュリティ 問30/120難易度C(難しい)
問題文
情報セキュリティインシデントの管理プロセスにおいて、「封じ込め」の段階で行う活動として、最も適切なものはどれか。
- 1.インシデントの根本原因を特定し、恒久的な対策を導入する
- 2.影響を受けたシステムを隔離し、被害の拡大を阻止する
- 3.インシデント対応の全体を振り返り、教訓をまとめる
- 4.復旧したシステムが正常に動作しているか監視する
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
根本原因の特定と恒久対策の導入は「根絶」や「事後対応」の段階で行う活動です。
選択肢2 → ✅正解
「封じ込め」段階では、影響を受けたシステムの隔離やネットワーク遮断により、被害の拡大を阻止することが主な活動です。
選択肢3 → ❌誤り
全体の振り返りと教訓のまとめは「事後対応(Lessons Learned)」の段階です。
選択肢4 → ❌誤り
復旧後の正常動作の監視は「復旧」段階の活動です。
背景知識
NIST SP 800-61等で示されるインシデント対応プロセスは、一般的に「準備」「検知・分析」「封じ込め・根絶・復旧」「事後対応」の4つのフェーズで構成されます。封じ込め(Containment)は、被害の拡大を防ぐための暫定的な措置を講じる段階です。具体的には、感染端末のネットワーク隔離、不正アクセス元のIPアドレスのブロック、侵害されたアカウントの停止などが含まれます。迅速かつ的確な封じ込めがインシデント被害の最小化に直結します。
学習アドバイス
インシデント対応の各フェーズ(準備→検知・分析→封じ込め→根絶→復旧→事後対応)で行う具体的な活動を区別して覚えましょう。各段階の目的の違いを理解することが重要です。
まとめ
- 封じ込めはシステム隔離等で被害拡大を阻止する段階
- 根本原因の特定は「根絶」段階で行う
- 事後対応では教訓のまとめと再発防止策を策定する