ITパスポート 2018年 秋期 問98
問題文
コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。
選択肢
ア:CSIRT(正解)
イ:ISMS
ウ:ISP
エ:MVNO
🔒 解説は解答すると表示されます
コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。【ITパスポート 解説】
正解の理由
選択肢のうち、コンピュータやネットワークの「セキュリティ事故(セキュリティインシデント)」の対応を目的とした組織を指す語は CSIRT です。CSIRT(Computer Security Incident Response Team:コンピュータセキュリティ事故対応チーム)は、攻撃や不正アクセスなどのインシデントを検知し、分析、封じ込め、復旧、再発防止まで行う専門組織です。したがって、問題文の目的に最も合致するのは ア です。
(補足)他の選択肢は目的や意味が異なります。たとえば ISMS は情報セキュリティマネジメントシステム、ISP はインターネットサービスプロバイダ(インターネット接続事業者)、MVNO は仮想移動体通信事業者で、いずれも「インシデント対応を専門に行う組織」ではありません。
解法ステップ
- 問題文のキーワードを拾う:「セキュリティ事故」「対応」「組織」。
- 各選択肢の略語を展開して意味を確認する。
- CSIRT = Computer Security Incident Response Team:事故(インシデント)対応チーム
- ISMS = Information Security Management System:情報を守る仕組み(管理の枠組み)
- ISP = Internet Service Provider:インターネット接続サービス提供者
- MVNO = Mobile Virtual Network Operator:他社回線を借りて携帯サービスを提供する事業者
- 「事故の対応を行う組織」に最も合う意味は CSIRT であると判断する。
この手順で迷わず答えを導けます。
選択肢別の誤答解説
- ア:CSIRT(Computer Security Incident Response Team:コンピュータセキュリティ事故対応チーム)
- 正解。インシデントの検知・分析・封じ込め・復旧・原因究明・情報共有などを行う組織です。企業内のチームや業界横断のチーム、国レベルのチームなど形態はさまざまです。
- イ:ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
- 間違い。ISMS は「組織が情報を安全に管理するための仕組みや運用ルール」のことです。事故対応の組織そのものではありません。ISMS を導入すると、インシデント対応のルールを整備することはありますが、ISMS 自体が対応組織ではありません。
- ウ:ISP(Internet Service Provider:インターネットサービスプロバイダ)
- 間違い。ISP は個人や企業にインターネット接続などを提供する事業者です。ネットワーク機器や回線を提供しますが、通常は自社サービスの運用や接続に関するサポートが中心で、インシデント対応を専門に行う組織とは異なります。
- エ:MVNO(Mobile Virtual Network Operator:仮想移動体通信事業者)
- 間違い。MVNO は他社(MNO=携帯電話の回線を持つ事業者)の回線を借りて携帯通信サービスを提供する事業者です。通信事業の形態のひとつであり、インシデント対応組織を指す語ではありません。
よくある誤解
- CSIRT と SOC(Security Operations Center:セキュリティ運用センター)を同じと考える誤解
- 両者は関連しますが役割が違います。SOC は日常的な監視とアラート対応を担う運用拠点で、CSIRT は発生したインシデントを総合的に管理・対応するチームです。小規模組織では両者を兼任することもありますが、概念は別です。
- ISMS があれば CSIRT は不要と考える誤解
- ISMS は管理の枠組みであり、ポリシーや手順を定めます。実際のインシデントの技術的対応や調査は CSIRT の仕事です。両方が補完関係にあります。
- ISP や MVNO がすべてのセキュリティ事故に対応してくれると考える誤解
- ISP や MVNO は自社サービスに関わる障害や不正利用に対処しますが、組織全体のインシデント調査や社内対応を行う CSIRT の代わりにはなりません。
補足コラム
- CSIRT と CERT の違い
- CERT は Computer Emergency Response Team(コンピュータ緊急対応チーム)という名称で、CSIRT とほぼ同じ機能を指すことが多いです。歴史的には CERT が先に使われ、以降組織や国によって CERT/CSIRT の呼び方が分かれています。
- インシデント対応の基本プロセス(簡単に)
- 発見(検知)
- 分析・評価(被害範囲の確認)
- 封じ込め(被害拡大の防止)
- 根絶(原因除去)
- 復旧(運用の再開)
- 教訓化(再発防止策と報告)
- CSIRT はこの一連の流れを指揮・実行します。
- 中小企業の場合
- 小規模組織は専任の CSIRT を持つのが難しいため、外部のセキュリティベンダーに委託したり、複数社で共同の CSIRT を作るケースもあります。
FAQ
Q1: CSIRT と CERT は同じですか?
A1: 機能的にはほぼ同じです。名称の違いは歴史や組織の好みによるところが大きいです。
A1: 機能的にはほぼ同じです。名称の違いは歴史や組織の好みによるところが大きいです。
Q2: ISMS があれば CSIRT は必要ありませんか?
A2: 必要です。ISMS は「どのように管理するか」の枠組みで、CSIRT は実際に事故が発生したときの実行部隊です。両方そろうことが望ましいです。
A2: 必要です。ISMS は「どのように管理するか」の枠組みで、CSIRT は実際に事故が発生したときの実行部隊です。両方そろうことが望ましいです。
Q3: CSIRT はどこに置かれますか?
A3: 企業内の専門部署として設置する場合と、業界単位や国レベルで設けられる場合があります。外部委託で運用することもあります。
A3: 企業内の専門部署として設置する場合と、業界単位や国レベルで設けられる場合があります。外部委託で運用することもあります。
Q4: SOC と CSIRT はどちらが先に必要ですか?
A4: 組織の状況によります。まずは監視が必要なら SOC、インシデント対応能力を整えたいなら CSIRT が重要です。理想は両方を連携させることです。
A4: 組織の状況によります。まずは監視が必要なら SOC、インシデント対応能力を整えたいなら CSIRT が重要です。理想は両方を連携させることです。
関連キーワード: CSIRT、インシデント対応、情報セキュリティ、SOC、CERT、ISMS、ISP、MVNO、セキュリティインシデント

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

