最終更新日:2026年5月18日
sg sg-security-management incident_management
まず結論
- このシリーズでは、「事象かインシデントかの判断」→「初動対応」→「証拠保全・分析」の流れを整理します。
- SG試験では、用語の暗記よりも、監視段階の話か、対応段階の話か、証拠として残す段階の話かを見分けることが得点に直結します。
- 丸暗記ではなく、被害の有無・対応要否・証拠性(改ざん防止)の3観点で切り分けるのがポイントです。
全体像
インシデント分野は、単発の用語問題に見えても、実際には時系列でつながっています。
- まず異常を見つける(事象の把握)
- 影響の有無を判断する(インシデント判定)
- 被害拡大を防ぐ(初動対応)
- 事実を残す(証拠保全)
- 原因を特定し、再発防止につなげる(分析・改善)
SG試験では、問題文に「監視」「影響」「封じ込め」「証拠」「報告」がどの順で出るかを読むと、選択肢を切りやすくなります。
主要用語の整理
| 用語 | 判断基準 |
|---|---|
| 情報セキュリティインシデントとは?事象との違いで理解【SG試験】 | 被害や業務影響が発生し、組織として対応が必要な状態かを判断する。 |
| インシデント対応・監視体制まとめ|主要用語を整理【SG試験】 | 検知・監視・対応体制を広く整理する入口として使う。 |
| デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】 | 調査目的ではなく、証拠として保全・分析する前提があるかを判断する。 |
| 証拠保全ガイドライン | 電磁的証拠を改ざんさせず、後で説明可能な形で保全する手順を問うかを判断する。 |
SG試験でのひっかけポイント
| 迷いやすい組合せ | 切り分けのポイント |
|---|---|
| 事象 vs インシデント | 事象は兆候・異常、インシデントは被害や影響が発生して対応が必要な状態。 |
| 初動対応 vs 原因分析 | 初動対応は被害拡大防止を優先、原因分析は状況安定後に根本原因を追う。 |
| ログ確認 vs フォレンジック | ログ確認は運用監視でも行う。フォレンジックは証拠性を維持した収集・分析が前提。 |
| フォレンジック vs 証拠保全ガイドライン | フォレンジックは実務活動の全体、ガイドラインは証拠保全手順を示す指針。 |
| CSIRT体制資料 vs 証拠保全資料 | 体制構築を問うならCSIRT系、電磁的証拠の扱いを問うなら証拠保全系を選ぶ。 |
おすすめの学習順序
- 情報セキュリティインシデントとは?事象との違いで理解【SG試験】
- インシデント対応・監視体制まとめ|主要用語を整理【SG試験】
- デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】
- 証拠保全ガイドライン
記事一覧
基本概念(何が起きたかを判断する)
監視・対応体制(どう動くかを判断する)
証拠保全・分析(どう残すかを判断する)
まとめ(試験直前用)
- まず「被害が出たか」で、事象とインシデントを切り分ける。
- 対応段階では、原因究明より先に被害拡大防止と証拠保全を優先する。
- フォレンジックは「証拠として使える形」での収集・分析が本質。
- 問題文に「電磁的証拠」「改ざん防止」「説明可能性」があれば、証拠保全論点を疑う。
- 監視・対応・証拠のどの段階かを見抜ければ、選択肢を切りやすい。