問題
セキュリティインシデント発生時の対応手順として、最初に行うべきことはどれか。
選択肢
- 1ア 原因の詳細な分析
- 2イ インシデントの検知と報告
- 3ウ 再発防止策の策定
- 4エ 関係者への損害賠償
正解
2. イ インシデントの検知と報告
詳しい解説を見る解説を閉じる
解説
正解はイ。セキュリティインシデント対応は、一般に「検知・報告→初動対応(封じ込めによる被害拡大防止)→原因分析→復旧→再発防止策の策定」という流れで進める。まずインシデントの発生を検知し、CSIRTや管理者など定められた窓口へ速やかに報告することが全ての対応の起点となる。報告が遅れるほど被害が拡大し、ログなどの証拠保全も困難になる。アの原因の詳細な分析は、被害の拡大を封じ込めた後に行う工程であり、最初に行うと初動が遅れる。ウの再発防止策の策定は復旧後に行う最終段階の活動である。エの損害賠償はインシデント対応プロセスそのものではない。ITパスポートでは対応手順の順序、特に「最初は検知と報告」という点が頻出ポイントである。
一問一答
全200問を繰り返し学習