情報セキュリティマネジメント試験 科目A キーワード集 > 情報セキュリティインシデント管理
概要
情報セキュリティインシデント管理とは、情報漏えい・不正アクセス・マルウェア感染・システム停止などのセキュリティ事故(インシデント)に、検知から復旧・再発防止まで組織的に対応する活動です。
インシデントは完全には防げないため、「起きたときに、いかに迅速・適切に対応して被害を最小化するか」が重要になります。対応の中心を担うのがCSIRTです。
詳細(対応の流れ)
- 検知・発見:異常やインシデントを見つける(監視・通報)。
- 報告・連絡:定められた窓口(CSIRT等)へ速やかに報告する。
- トリアージ:緊急度・影響度を判断し、優先順位を決める。
- 対応(封じ込め・根絶・復旧):被害拡大を止め、原因を除去し、復旧する。
- 事後対応・再発防止:記録・報告し、教訓を対策に反映する。
インシデント管理のキーワードは「
検知→報告→対応→復旧→再発防止」。
発見したら速やかに報告すること、独断で対応せず手順に従うことが重要。
CSIRTが対応を担う点も頻出です。
事前準備と再発防止
- インシデント対応手順・連絡体制(CSIRT)を平常時に整備する。
- 従業員に「おかしいと思ったらすぐ報告する」文化を根づかせる。
- 証拠保全(ログ等)を行い、原因究明・再発防止に役立てる。
- 個人情報漏えい時は、個人情報保護法に基づく報告・通知が必要な場合がある。
- 対応の教訓をPDCAで対策に反映する。
関連例
マルウェア感染に気づいた従業員が報告をためらい、対応が遅れて被害が拡大する事例は少なくありません。逆に、早期に検知・報告し、感染端末を即座に隔離できた組織は、被害を局所化できています。報告体制と初動の速さが明暗を分けます。
試験での問われ方
- 「インシデント発見時に最初に行うべきことはどれか」→ 定められた窓口へ速やかに報告する。
- 「インシデント対応の中心を担う組織はどれか」→ CSIRT。
- 「インシデント管理の目的はどれか」→ 被害の最小化・再発防止。