インシデント対応とは？初動対応の判断基準を整理【SG試験】

まず結論

インシデント対応とは「事故発生時に被害を最小化し、再発防止まで行う対応プロセス」
SG試験では「最初にやるべき行動（初動対応）＝拡大防止」を判断できるかがポイント

このページで切り分けること（先にここだけ）

このページは、インシデント発生後の初動対応（封じ込め優先）を中心に整理します。

インシデント対応：発生後に被害拡大を防ぎ、復旧・再発防止につなげる
インシデント管理：対応プロセス全体を継続的に管理する
CSIRT/SOC：対応を支える組織・監視体制

迷ったら、「今は最初に止める場面か、体制や運用設計の場面か」を見ます。

SG試験で選択肢を切る判断軸（インシデント対応編）

「最初に何をするか」が問われる
→ 封じ込め（隔離・停止）を優先
「原因調査や復旧を先に行う」と書かれている
→ 誤り。拡大防止より前に進めない
「記録を取らずに操作する」と書かれている
→ 誤り。証跡保全を崩すと後続対応が弱くなる

直感的な説明

情報漏えいや不正アクセスが起きたとき👇

すぐ復旧する？
原因を調べる？

👉 どちらもまだ早い

まずやるべきは👇
👉 被害が広がらないように止める（封じ込め）

定義・仕組み

■ インシデントとは

情報セキュリティ上の事故のこと

例👇

情報漏えい
不正アクセス
マルウェア感染

■ インシデント対応の基本フロー

SG試験ではこの順番が非常に重要です。

① 検知・把握
→ 何が起きたか確認

② 初動対応（封じ込め）【最重要】
→ 被害拡大を防ぐ

③ 原因調査（分析）
→ なぜ起きたか

④ 復旧
→ 元の状態に戻す

⑤ 再発防止
→ 同じ事故を防ぐ

👉 ポイント
「封じ込め → 調査 → 復旧」の順番を絶対に崩さない

どんな場面で使う？

✔ 科目Bの典型パターン

ウイルス感染
不正アクセス検知
誤送信発覚

✔ 正しい初動対応（超重要）

例👇

ネットワークから切り離す
アカウント停止
システム隔離

👉 共通点👇
👉 拡大防止（出口対策とつながる）

✔ NG対応（頻出ひっかけ）

いきなり復旧する
原因調査を優先する
記録を取らずに操作する

👉 特に注意👇
ログや証拠を壊す行動はNG（フォレンジックと関係）

よくある誤解・混同

❌ 誤解①：まず原因調査

→ ⭕ まずは封じ込め

❌ 誤解②：すぐ復旧が最優先

→ ⭕ 被害拡大防止が最優先

❌ 誤解③：現場だけで対応する

→ ⭕ 組織的対応が必要

🔥 SG試験のひっかけ

典型パターン👇

「原因調査」→ ❌（まだ早い）
「復旧作業」→ ❌（まだ早い）
「隔離・停止」→ ⭕

👉 判断基準👇
拡大防止かどうか

CSIRTとの関係

CSIRT（インシデント対応チーム）は、
インシデント対応を専門に行う組織です。

主な役割👇

対応方針の決定
調査・分析の実施
関係部署との連携
外部機関との調整

👉 ポイント
個人判断ではなく組織で対応する

確認問題（SG試験対策）

インシデント対応の流れとして、最も適切なものはどれか。

ア. 復旧を最初に行い、原因調査は不要とする。
イ. 検知・初動→封じ込め→根絶/復旧→事後レビューの順で進める。
ウ. 調査は外部任せにし、組織内記録は残さない。
エ. 影響範囲確認より先に広報発表のみを優先する。

▶ クリックして答えと解説を見る（ここを開く）

正解：イ

解説

ア：原因未解決だと再発します。
イ：実務的にも試験的にも標準的な順序です。
ウ：証跡と記録は再発防止に必須です。
エ：技術対応と事実把握を先に行う必要があります。

👉 判断ポイント
「検知→封じ込め→復旧→再発防止」の順序を崩さない。

まとめ（試験直前用）

インシデント対応＝事故発生後の対応プロセス
最優先は「拡大防止（封じ込め）」
流れは
→ 検知 → 封じ込め → 調査 → 復旧 → 再発防止
原因調査や復旧は後
証拠を壊さないことも重要（フォレンジック）
「最初に何をするか」で選択肢を切る

公式情報・参考リンク

※試験対策では、細かな対応手順を暗記するよりも、インシデント対応が「検知後に被害拡大を防ぎ、調査・復旧・再発防止につなげる活動」である点を優先して整理すると判断しやすくなります。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る