問題
D社ではインシデント発生時の初動対応を標準化している。インシデント発生直後にとるべき最優先の行動はどれか。
選択肢
- 1ア 原因を徹底的に究明する
- 2イ 被害拡大を防ぐため該当システムの隔離を行い、責任者に報告する
- 3ウ メディアに公表する
- 4エ 従業員全員で話し合う
正解
2. イ 被害拡大を防ぐため該当システムの隔離を行い、責任者に報告する
詳しい解説を見る解説を閉じる
解説
正解はイ。インシデント対応の初動で最優先すべきは被害拡大の防止である。マルウェア感染や不正アクセスが疑われるシステムをネットワークから隔離して影響範囲の拡大を食い止め、同時にCSIRTや責任者へ報告して組織としての対応体制に移行する。アの原因の徹底究明は重要だが、封じ込めの後に行う事後対応であり、初動で時間をかけると被害が広がるおそれがある。ウの公表は事実関係を整理したうえで経営判断として行うものであり、発生直後の行動ではない。エの全員での話合いは初動として遅く、あらかじめ定めた権限と手順に基づく迅速な行動が求められる。基本情報では、インシデント対応の流れ「検知・連絡受付→トリアージ→初動対応(隔離・封じ込め・報告)→原因調査・復旧→事後対応・再発防止」の順序が頻出ポイントである。
一問一答
科目A 180問+科目B 60問