基本情報技術者 2017年 秋期 午前(科目A) 問42
問題文
CSIRTの説明として、適切なものはどれか。
選択肢
ア:IPアドレスの割当て方針の決定、DNSルートサーバの運用監視、DNS管理に関する調整などを世界規模で行う組織である。
イ:インターネットに関する技術文書を作成し、標準化のための検討を行う組織である。
ウ:企業内組織内や政府機関に設置され、情報セキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織の総称である。(正解)
エ:情報技術を利用し、宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。
CSIRTの説明として、適切なものはどれか。【午前2 解説】
要点まとめ
- 結論: CSIRTは企業や政府機関等に設置され、サイバーインシデントの受理・分析・調査・対応・連絡調整を行う組織の総称である。
- 根拠: 名称は Computer Security Incident Response Team の略で、役割は「インシデント対応と情報共有」であることが国際的定義と一致する。
- 差がつくポイント: 「IP割当」「標準化」「攻撃者」などの語句と混同せず、問題文の「報告を受け取り、調査し、対応活動を行う」に着目する。
正解の理由
正解は ウ です。CSIRT(Computer Security Incident Response Team)は、組織内や政府機関、産業横断で設置されるチームや組織の総称であり、情報セキュリティインシデントの報告受領、解析・調査、対応の実施、関係者への通知や情報共有、復旧支援まで一連の活動を担います。選択肢ウの記述はこの定義に合致しているため正解となります。
よくある誤解
- 「IPアドレスの割当て」や「DNSルートサーバの運用」と混同する受験者がいるが、それらはIANA等の役割でありCSIRTとは別である。
- 「CSIRT=攻撃者集団」だと誤認するケースがあるが、CSIRTは防御側・対応側の組織であり攻撃者を指すものではない。
- CERTとCSIRTを同義語として扱うが、CERTは歴史的名称であり、現在はCSIRTがより一般的な総称である点を押さえる。
解法ステップ
- 問題文のキーワードを抽出する:「報告を受け取り」「調査し」「対応活動を行う」。
- 各選択肢の対象範囲を確認する:組織の目的が「運用監視」「標準化」「攻撃者」などか、インシデント対応かを判別。
- 名称の由来を思い出す:CSIRT = Computer Security Incident Response Team = インシデント対応チーム。
- 最も記述と一致する選択肢を選ぶ(該当はウ)。
選択肢別の誤答解説
- ア: IPアドレスの割当て方針やDNSルートサーバの運用監視はIANAやルート運用組織の役割であり、CSIRTの業務とは異なる。
- イ: インターネットの技術文書作成や標準化検討はIETF等(標準化団体)の役割であり、インシデント対応を主目的とはしない。
- ウ: 組織内や政府機関に設置され、インシデントの受理・調査・対応活動を行う組織の総称であり、CSIRTの定義に合致するため正解。
- エ: 情報技術を利用して宗教的・政治的目的を達成する者や組織は「ハクティビスト」や「攻撃者(threat actor)」等を指し、CSIRTではない。
補足コラム
CSIRTにはいくつかのタイプがあり、内部CSIRT(企業内)、ナショナルCSIRT(国家レベル、例:JPCERT/CC)、ベンダーCSIRT(ソフトウェア・サービス提供者)、協調型CSIRT(複数組織横断)などがあります。CSIRTの活動は一般にインシデント対応ライフサイクル(準備、検知・識別、封じ込め、根絶、復旧、教訓)に沿って実施され、フォレンジックや脆弱性対応、情報共有(ISAC等)も重要な仕事です。SOC(Security Operations Center)は主に検知とモニタリングを担い、CSIRTは発生したインシデントへの対応・調整を主に行う点で役割が重なるが異なります。参考規格として ISO/IEC 27035(インシデント管理)があるため、試験対策でもライフサイクルの用語は押さえておきましょう。
FAQ
Q1: CSIRTとCERTは同じですか?
A1: 厳密には異なるが実務上ほぼ同義で使われる場合が多い。CERTは歴史的名称(CERT/CC等)、CSIRTは一般的総称です。
A1: 厳密には異なるが実務上ほぼ同義で使われる場合が多い。CERTは歴史的名称(CERT/CC等)、CSIRTは一般的総称です。
Q2: CSIRTはどの規模の組織に必要ですか?
A2: 大企業や政府だけでなく、中小企業でもインシデント対応体制を整えることは推奨されます。外部CSIRTサービスの活用も可能です。
A2: 大企業や政府だけでなく、中小企業でもインシデント対応体制を整えることは推奨されます。外部CSIRTサービスの活用も可能です。
Q3: CSIRTの主な業務は何ですか?
A3: インシデント受理、初動対応、解析・フォレンジック、封じ込めと復旧、関係者連絡と情報共有、再発防止策の検討などです。
A3: インシデント受理、初動対応、解析・フォレンジック、封じ込めと復旧、関係者連絡と情報共有、再発防止策の検討などです。
Q4: 試験での識別ポイントは?
A4: 「対応」「調査」「報告」など能動的な語句がある選択肢を優先し、運用・標準化・攻撃者といった語句は除外する。
A4: 「対応」「調査」「報告」など能動的な語句がある選択肢を優先し、運用・標準化・攻撃者といった語句は除外する。
関連キーワード: CSIRT、インシデント対応、情報共有、フォレンジック、SOC、CERT/CC、脆弱性対応、初動対応、インシデントライフサイクル、JPCERT/CC
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!