sg sg-security-management incident_management it_security_operations
まず結論
- インシデント対応とは「事故発生時に被害を最小化し、再発防止まで行う対応プロセス」
- SG試験では「最初にやるべき行動(初動対応)=拡大防止」を判断できるかがポイント
直感的な説明
情報漏えいや不正アクセスが起きたとき👇
- すぐ復旧する?
- 原因を調べる?
👉 どちらもまだ早い
まずやるべきは👇
👉 被害が広がらないように止める(封じ込め)
定義・仕組み
■ インシデントとは
情報セキュリティ上の事故のこと
例👇
- 情報漏えい
- 不正アクセス
- マルウェア感染
■ インシデント対応の基本フロー
SG試験ではこの順番が非常に重要です。
① 検知・把握
→ 何が起きたか確認
② 初動対応(封じ込め)【最重要】
→ 被害拡大を防ぐ
③ 原因調査(分析)
→ なぜ起きたか
④ 復旧
→ 元の状態に戻す
⑤ 再発防止
→ 同じ事故を防ぐ
👉 ポイント
「封じ込め → 調査 → 復旧」の順番を絶対に崩さない
どんな場面で使う?
✔ 科目Bの典型パターン
- ウイルス感染
- 不正アクセス検知
- 誤送信発覚
✔ 正しい初動対応(超重要)
例👇
- ネットワークから切り離す
- アカウント停止
- システム隔離
👉 共通点👇
👉 拡大防止(出口対策とつながる)
✔ NG対応(頻出ひっかけ)
- いきなり復旧する
- 原因調査を優先する
- 記録を取らずに操作する
👉 特に注意👇
ログや証拠を壊す行動はNG(フォレンジックと関係)
よくある誤解・混同
❌ 誤解①:まず原因調査
→ ⭕ まずは封じ込め
❌ 誤解②:すぐ復旧が最優先
→ ⭕ 被害拡大防止が最優先
❌ 誤解③:現場だけで対応する
→ ⭕ 組織的対応が必要
🔥 SG試験のひっかけ
典型パターン👇
- 「原因調査」→ ❌(まだ早い)
- 「復旧作業」→ ❌(まだ早い)
- 「隔離・停止」→ ⭕
👉 判断基準👇
拡大防止かどうか
CSIRTとの関係
CSIRT(インシデント対応チーム)は、
インシデント対応を専門に行う組織です。
主な役割👇
- 対応方針の決定
- 調査・分析の実施
- 関係部署との連携
- 外部機関との調整
👉 ポイント
個人判断ではなく組織で対応する
まとめ(試験直前用)
- インシデント対応=事故発生後の対応プロセス
- 最優先は「拡大防止(封じ込め)」
- 流れは
→ 検知 → 封じ込め → 調査 → 復旧 → 再発防止 - 原因調査や復旧は後
- 証拠を壊さないことも重要(フォレンジック)
- 「最初に何をするか」で選択肢を切る
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】