情報処理安全確保支援士 2025年秋期午前2 問13

問題文

ある企業で、社内機能としてCSIRT, PSIRT, SOC, WHOISデータベースの技術連絡担当組織があるとき、自社製品の脆弱性に起因するリスクに対応するべき社内機能はどれか。

選択肢

ア：CSIRT

イ：PSIRT（正解）

ウ：SOC

エ：WHOISデータベースの技術連絡担当組織

自社製品の脆弱性に起因するリスクに対応するべき社内機能はどれか【午前2 解説】

要点まとめ

結論→自社製品に起因する脆弱性対応は製品セキュリティを専門とする PSIRT が主導して調査・修正・公開対応まで担います。
根拠→PSIRT は製品ライフサイクルに沿った脆弱性管理、ベンダー責任での修正、ベンダー通知と調整を行う組織だからです。
差がつくポイント→CSIRT/SOC は組織内のインシデント検知や運用監視が中心で、製品固有の修正やステークホルダー連絡は PSIRT の役割と区別すること。

正解の理由

PSIRT（Product Security Incident Response Team）は「自社製品」の脆弱性に特化して対応する組織です。具体的には脆弱性の受理・再現・影響評価、修正策の開発支援、ベンダー通知や公開方針（公開日程やアドバイザリ）を調整します。この問題は「自社製品の脆弱性に起因するリスク」が焦点であるため、製品責任を持つ PSIRT が最適な担当です。

よくある誤解（2〜3 行）

CSIRT と PSIRT を同義と考えてしまうことが多いですが、CSIRT は組織全体のインシデント対応が主目的です。
SOC は監視と検知の運用部隊であり、製品の脆弱性修正やベンダー対応が主要業務ではありません。

解法ステップ

問題文で対象が「自社製品の脆弱性」であることを確認する。
各組織の役割を整理する（PSIRT：製品、CSIRT：組織全体、SOC：監視、WHOIS：連絡情報）。
「製品に起因するリスク」＝製品責任の範囲なので PSIRT を選ぶ。
選択肢から PSIRT（イ）を正解とする。

選択肢別の誤答解説

ア: CSIRT — 組織全体のセキュリティインシデント対応を担うが、製品修正やベンダー通知が主役ではない。
イ: イ — 正解。PSIRT は自社製品の脆弱性受理、調査、修正支援、公開までの一連対応を行う。
ウ: SOC — セキュリティ監視と検知・運用が主で、製品脆弱性の修正やアドバイザリ発行は担当外。
エ: WHOISデータベースの技術連絡担当組織 — WHOIS はドメイン登録情報や連絡窓口であり、脆弱性対応の実務組織ではない。

補足コラム（関連知識など）

PSIRT の主な活動：脆弱性報告受付、影響評価、修正パッチ作成支援、セキュリティアドバイザリの発行、外部研究者との調整（Coordinated Disclosure）。
CSIRT と PSIRT の協働：企業によっては両者が連携してインシデントの範囲確定や通知を行う。CSIRT は社内被害対応、PSIRT は製品側の修正と公開対応を主導。
CVE やベンダーアドバイザリ登録は PSIRT の重要な業務の一つ。バグバウンティ運用は PSIRT が窓口となる場合が多い。
WHOIS はドメインの技術連絡先情報を示すのみで、脆弱性対応の組織的機能とは異なる。

FAQ

Q: PSIRT と CSIRT はどちらが上位ですか？
A: 上位下位の関係はなく役割分担です。CSIRT は組織内のインシデント対応、PSIRT は製品セキュリティが中心です。連携して対応します。

Q: SOC が脆弱性対応を行う場面はありますか？
A: SOC は検知・通報を行い、検知結果を CSIRT や PSIRT に引き渡す役割が多く、直接の修正対応は通常行いません。

Q: 製品の脆弱性報告を受けた場合、まず誰に連絡すべきですか？
A: 企業内で PSIRT があれば PSIRT が窓口です。無ければ CSIRT かセキュリティ窓口に連絡し、適切な部署へエスカレーションします。

関連キーワード: PSIRT, CSIRT, SOC, 脆弱性対応、インシデント対応、CVE, Coordinated Disclosure, WHOIS, ベンダーアドバイザリ、バグバウンティ

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！