インシデント管理は、発生したセキュリティ事故に適切に対応し再発防止まで行うプロセスです。対応の流れとSG試験での判断ポイントを整理します。

sg sg-security-management incident_management risk_assessment it_security_operations

まず結論

インシデント管理とは、発生したセキュリティ事故に対応し、影響を最小化し再発防止まで行う一連のプロセスです。
SG試験では「対応の順序」と「やるべきことの抜け漏れ」を判断させる問題として問われます。

直感的な説明

インシデントが発生したとき、場当たり対応するとこうなります:

  • とりあえず再起動 → 原因不明のまま再発
  • 担当者だけで対応 → 情報共有されない
  • 記録なし → 改善できない

👉 これでは同じ事故が繰り返される

そこで必要なのが「インシデント管理」

👉 イメージ
「発見 → 対応 → 原因分析 → 再発防止」までの流れを決めておくこと

定義・仕組み

インシデント管理は

情報セキュリティインシデントに対して、検知から復旧・再発防止までを体系的に行うプロセス

です。

基本的な流れ(最重要)

SG試験はここを覚えるだけでかなり解けます。

① 検知・報告

  • 異常の発見
  • 関係者への報告

② 初動対応(被害拡大防止)

  • ネットワーク遮断
  • アカウント停止

👉 まず止める(原因調査より先)

③ 調査・分析

  • 原因の特定
  • 影響範囲の確認

④ 復旧

  • システム復旧
  • データ復元

⑤ 再発防止

  • ルール見直し
  • 教育・対策強化

👉 ここまでやって初めて完了

どんな場面で使う?

使う場面

  • 情報漏えい
  • 不正アクセス
  • システム障害

👉 SG試験では
「適切な対応順序か?」が問われる

注意が必要な場面

  • いきなり原因調査 → ❌
  • 記録を残さない → ❌

👉 順序ミスは典型的な誤り

よくある誤解・混同

❌ 誤解①:原因調査を最優先

👉 ⭕
まずやるのは
被害拡大の防止(初動対応)

❌ 誤解②:復旧したら終わり

👉 ⭕
再発防止までがセット

❌ 誤解③:担当者だけで対応

👉 ⭕
報告・共有が必要(組織対応)

SG試験でのひっかけ

  • 「原因分析を最初に実施」→ ❌
  • 「復旧後に何もしていない」→ ❌
  • 「記録・報告がない」→ ❌

👉 順序+再発防止の有無で切る

確認問題(SG試験対策)

次のうち、最も適切なものはどれか。

A. インシデント管理では、復旧後に原因調査を行い、必要なら検知・封じ込めを検討する。
B. インシデント管理では、検知後に封じ込めを行い、影響範囲や原因を調査したうえで復旧・再発防止へ進む。
C. インシデント管理は、発生前の予防策だけを扱い、発生後対応は対象外である。
D. インシデント管理の目的は、記録を残さず迅速に通常運用へ戻すことである。

答えと解説を見る

正解:B

解説

  • A:誤り。順序が不適切です。通常は検知→封じ込め→調査→復旧→再発防止の流れで進めます。
  • B:正しい。被害拡大防止と原因把握を踏まえて復旧・改善するのが基本的な管理プロセスです。
  • C:誤り。インシデント管理は発生後対応を中心に扱い、予防策だけではありません。
  • D:誤り。記録・証跡は再発防止や説明責任のために重要で、残さない運用は不適切です。

👉 判断ポイント
「検知→封じ込め→調査→復旧→再発防止」の順序で選択肢を切る。

まとめ(試験直前用)

  • インシデント管理=対応の一連の流れ
  • 検知 → 初動対応 → 調査 → 復旧 → 再発防止
  • 最初は「止める」、最後は「改善する」
  • 順序ミスは即NG

👉 SG試験では
「この順番は正しいか?」で判断する

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る