インシデント対応のレビュー【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問5】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問5

問2 セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200501042813p:plain

(略)

 インシデント対応ポリシの適用範囲は全社とした。非常時対応チームは、A社におけるインシデント対応のための組織横断チーム(以下、A-CSIRTという)として、再編成することにした。インシデント対応ポリシでは、A-CSIRT及び各部の役割、責任及び権限レベルを規定した。A-CSIRTは、従来の非常時対応チーム同様、各部の代表者で構成することにした。ただし、インシデントへの迅速な対応を可能にするため、各部で人選を見直し、更にシステム部所属のメンバを増やした。A-CSIRTのリーダはG部長が務めることにした。メンバのスキルを高めるため、定期的に勉強会を開催し、外部の研修などにも積極的に参加してもらう方針を立てた。

 ログについては、ログの管理に関する規定(以下、ログ管理ポリシという)を作成することにした。ログ管理ポリシの適用対象は、社内の全ての機器であり、システム部が管理する機器、部門サーバ及び開発用サーバも含まれる。ログ管理ポリシでは、図3中の(6)dに挙げられたログに関わる課題を解決できるように、次の要件を定める。

(略)

 A-CSIRTのメンバであるシステム部のCさんが、外部のインシデント対応研修に参加して得た知識を基に手順を手探りしながらも調査したところ、次のことが分かった。

(略)

【インシデント対応のレビュー】

 インシデントQの対応が一段落した後、インシデント対応ポリシに従い、インシデントQの対応についてレビューが開催された。レビューにおいて、最初にG部長から、インシデントPとインシデントQは一連の攻撃だと推定されるという報告があった。次にインシデントQの対応が報告された。インシデントQの対応は、インシデントPの対応に比べて大幅に改善されたとの評価を受け、インシデント対応能力が向上してきていると判断された。最後に、⑦インシデント対応能力について未対応の課題を解決するための措置がまとめられ、順次実施されて行くことになった。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】

⑦について、図3中の(6)に示された課題a〜dの中から、この時点で未対応の課題を選び、記号で答えよ。また、その課題を解決するための措置を、25字以内で具体的に述べよ。:b/インシデント対応の作業手順書を作成する。

各課題について、対応状況を問題文から確認します。

a. インシデント対応についての各部の責任や役割が曖昧で協力を得にくい場面があった。

「インシデント対応ポリシでは、A-CSIRT及び各部の役割、責任及び権限レベルを規定した。」とあり、対応されているようです。

b.インシデント対応についての作業手順が明確になっておらず、手探りの作業となった。このため、掲示板事業者への要請といった措置の着手が遅れた。

「A-CSIRTのメンバであるシステム部のCさんが、外部のインシデント対応研修に参加して得た知識を基に手順を手探りしながらも調査した」とあり、作業手順は明確になっていないようです。

c.インシデント対応の経験をもつ者又はスキルをもつ者がおらず、非効率な作業になった。

「メンバのスキルを高めるため、定期的に勉強会を開催し、外部の研修などにも積極的に参加してもらう方針を立てた。」とあり、対応されているようです。

d.ログが少なく調査が難航した。開発部はログ取得を定めた規程をもたず、開発部が管理する機器のうちログを取得しているものは少数だった。また、取得していたログの種類や保存期間にばらつきがあった。

「ログについては、ログの管理に関する規定(以下、ログ管理ポリシという)を作成することにした。」とあり、対応されているようです。

Follow me!