最終更新日:2026年6月3日
sg sg-security-management incident_management
まず結論
- このシリーズでは、事象の検知、インシデント判断、初動対応、分析、証拠保全、外部連携の流れを整理します。
- SG試験では、SOC、CSIRT、JPCERT/CC、SIEM、SOARなどを丸暗記するより、誰が何をする役割かで切り分けることが重要です。
- 判断するときは、監視するのか、対応するのか、自動化するのか、証拠を残すのか、外部調整するのかを見ます。
全体像
インシデント対応は、事故が起きてから慌てて考えるものではありません。平常時からログを取り、監視し、異常を検知し、対応体制を決めておくことで、被害を小さくします。
SG試験では、次の流れで考えると整理しやすくなります。
- ログやイベントを収集する
- 異常や兆候を検知する
- 事象かインシデントかを判断する
- 初動対応で被害拡大を防ぐ
- 原因分析、証拠保全、復旧、再発防止を行う
- 必要に応じて外部組織と連携する
問題文に「監視」「検知」「対応」「調整」「証拠」「自動化」のどれが書かれているかを読むと、選択肢を切りやすくなります。
主要用語の整理
| 用語 | 判断基準 |
|---|---|
| 情報セキュリティ事象とは?インシデントとの違いを整理【SG試験】 | まだ被害や対応要否が確定していない、異常や兆候を含む出来事かを判断する。 |
| 情報セキュリティインシデントとは?事象との違いで理解【SG試験】 | 被害や影響があり、組織として対応が必要な状態かを判断する。 |
| インシデント対応とは?初動対応の判断基準を整理【SG試験】 | 発生後に被害拡大を防ぐ行動や手順を問う設問かを判断する。 |
| インシデント管理とは?対応プロセスを流れで理解【SG試験】 | 対応、復旧、再発防止まで含む管理プロセスを問う設問かを判断する。 |
| SOCとは?SIEMを使って監視する組織【SG試験】 | ログやアラートを監視し、異常を検知・分析する組織かを判断する。 |
| CSIRTとは?組織内インシデント対応の基本【SG試験】 | 組織内でインシデント対応を調整・実行するチームかを判断する。 |
| JPCERT/CCとは?国内外のインシデント対応を調整する組織【SG試験】 | 組織内ではなく、国内外の関係者間で対応を調整する外部組織かを判断する。 |
| J-CRATとは?標的型攻撃の相談・分析を支援するIPAの取組み【SG試験】 | 標的型攻撃に関する相談・分析・助言をIPAが支援する取組みかを判断する。 |
| SIEMとは?ログを集約して異常を検知する仕組み【SG試験】 | 複数のログを集約・分析して異常検知に使う仕組みかを判断する。 |
| SOARとは?インシデント対応を自動化する仕組み【SG試験】 | 検知後の調査や対応手順を自動化・効率化する仕組みかを判断する。 |
| デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】 | 事故後に証拠としてデータを保全・分析する場面かを判断する。 |
SG試験でのひっかけポイント
| 迷いやすい組合せ | 切り分けのポイント |
|---|---|
| 事象 vs インシデント | 事象は異常や兆候を含む出来事。インシデントは被害や影響があり対応が必要な状態。 |
| SOC vs CSIRT | SOCは監視・検知・分析が中心。CSIRTは組織内の対応調整・復旧・再発防止が中心。 |
| CSIRT vs JPCERT/CC | CSIRTは自組織内の対応体制。JPCERT/CCは国内外のインシデント対応を調整する外部組織。 |
| J-CRAT vs CSIRT | J-CRATは標的型攻撃を受けた組織へのIPAの支援。CSIRTは自組織内の対応体制。 |
| SIEM vs SOAR | SIEMはログ集約・相関分析による検知。SOARは対応手順の自動化・効率化。 |
| ログ管理 vs デジタルフォレンジック | ログ管理は平常時から記録を残す運用。フォレンジックは事故後に証拠として保全・分析する活動。 |
| PSIRT vs CSIRT | PSIRTは自社製品・サービスの脆弱性対応。CSIRTは組織内のインシデント対応。 |
おすすめの学習順序
- 情報セキュリティ事象とは?インシデントとの違いを整理【SG試験】
- 情報セキュリティインシデントとは?事象との違いで理解【SG試験】
- インシデント対応とは?初動対応の判断基準を整理【SG試験】
- インシデント管理とは?対応プロセスを流れで理解【SG試験】
- SOCとは?SIEMを使って監視する組織【SG試験】
- CSIRTとは?組織内インシデント対応の基本【SG試験】
- SOC・CSIRT・JPCERT/CCの違いとは?役割と関係を図で整理【SG試験】
- SIEMとは?ログを集約して異常を検知する仕組み【SG試験】
- SOARとは?インシデント対応を自動化する仕組み【SG試験】
- デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】
記事一覧
事象・インシデントの基本
- 情報セキュリティ事象とは?インシデントとの違いを整理【SG試験】
- 情報セキュリティインシデントとは?事象との違いで理解【SG試験】
- インシデント対応とは?初動対応の判断基準を整理【SG試験】
- インシデント管理とは?対応プロセスを流れで理解【SG試験】
監視・検知・ログ分析
- ログ管理とは?証跡と異常検知の役割を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SIEMとは?ログを集約して異常を検知する仕組み【SG試験】
- UEBAとは?利用者のふるまいから異常を見つける仕組み【SG試験】
- SOCとは?SIEMを使って監視する組織【SG試験】
対応体制・外部連携
- CSIRTとは?組織内インシデント対応の基本【SG試験】
- SOC・CSIRT・JPCERT/CCの違いとは?役割と関係を図で整理【SG試験】
- JPCERT/CCとは?国内外のインシデント対応を調整する組織【SG試験】
- J-CRATとは?標的型攻撃の相談・分析を支援するIPAの取組み【SG試験】
- PSIRTとは?製品脆弱性に対応するベンダーチーム【SG試験】
- SOARとは?インシデント対応を自動化する仕組み【SG試験】
証拠保全・原因分析
まとめ(試験直前用)
- 事象は兆候、インシデントは対応が必要な事故として切り分ける。
- SOCは監視、CSIRTは組織内対応、JPCERT/CCは外部調整で判断する。
- SIEMはログを集めて検知、SOARは対応手順を自動化する仕組み。
- ログ管理は平常時の記録、フォレンジックは事故後の証拠保全・分析。
- 問題文では「監視」「対応」「調整」「証拠」「自動化」の語に注目する。