データベーススペシャリスト試験 2021年午前2 問19

インシデントハンドリングの順序のうちJPCERTコーディネーションセンター“インシデントハンドリングマニュアル(2015年11月26日)”に照らして適切なものはどれか。

ア：インシデントレスポンス(対応) → 検知/連絡受付 → トリアージ

イ：インシデントレスポンス(対応) → トリアージ → 検知/連絡受付

ウ：検知/連絡受付 → インシデントレスポンス(対応) → トリアージ

エ：検知/連絡受付 → トリアージ → インシデントレスポンス(対応)（正解）

解説

インシデントハンドリングの順序【午前2 解説】

要点まとめ

結論：JPCERTのマニュアルに基づく正しいインシデントハンドリングの順序は「検知/連絡受付 → トリアージ → インシデントレスポンス(対応)」です。
根拠：インシデント対応はまず異常の検知と連絡受付から始まり、次に優先度や重要度を判断するトリアージを経て、最後に具体的な対応を行う流れが推奨されています。
差がつくポイント：対応の前に必ずトリアージを行い、インシデントの影響度や緊急度を正確に評価することが重要で、これを省略すると誤った対応やリソースの無駄遣いにつながります。

正解の理由

選択肢エは、JPCERTコーディネーションセンターの「インシデントハンドリングマニュアル(2015年11月26日)」に準拠した正しい順序を示しています。
まず「検知/連絡受付」でインシデントの発生を確認し、次に「トリアージ」でインシデントの優先度や影響範囲を評価します。最後に「インシデントレスポンス(対応)」で具体的な対策を実施します。
この順序は効率的かつ効果的な対応を可能にし、被害の拡大防止に寄与します。

よくある誤解

インシデント対応はすぐに対応を始めるべきと考えがちですが、トリアージを飛ばすと重要度の低い問題にリソースを割いてしまう恐れがあります。
また、検知前に対応を開始することは現実的ではありません。

解法ステップ

インシデントの発生を検知し、関係者からの連絡を受け付ける。
受け付けた情報をもとにトリアージを行い、インシデントの優先度や影響度を評価する。
トリアージ結果に基づき、適切な対応策を計画・実施する。
対応後は状況を監視し、必要に応じて再評価や追加対応を行う。

選択肢別の誤答解説

ア: 「対応→検知→トリアージ」の順序は現実的でなく、対応前にインシデントを検知し評価する必要があるため誤り。
イ: 「対応→トリアージ→検知」は対応が最初に来ており、検知なしに対応は不可能なため誤り。
ウ: 「検知→対応→トリアージ」は対応がトリアージの前に来ており、優先度評価を飛ばしているため誤り。
エ: 「検知→トリアージ→対応」は正しい順序であり、JPCERTのマニュアルに準拠している。

補足コラム

トリアージは医療現場の緊急度判定から転用された概念で、サイバーセキュリティではインシデントの優先順位付けに活用されます。
適切なトリアージにより、限られたリソースを最も重要な問題に集中させることが可能です。
また、インシデントハンドリングはPDCAサイクルの一環として継続的に改善されるべきプロセスです。

FAQ

Q: インシデント検知とは具体的に何を指しますか？
A: ネットワーク監視やログ分析、ユーザーからの通報などで異常や攻撃の兆候を発見することを指します。

Q: トリアージで評価するポイントは何ですか？
A: インシデントの影響範囲、緊急度、被害の大きさ、対応に必要なリソースなどを総合的に判断します。

Q: インシデントレスポンスで行う具体的な対応例は？
A: 攻撃の封じ込め、被害拡大の防止、原因の特定、復旧作業、再発防止策の実施などがあります。

関連キーワード: インシデントハンドリング, JPCERT, トリアージ, インシデントレスポンス, セキュリティ対応, インシデント管理

← 前の問題へ次の問題へ →

データベーススペシャリスト試験 2021年 午前2 問19

解説