インシデント対応のレビュー【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.5】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問5

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】

【インシデント対応のレビュー】
 インシデントQの対応が一段落した後、インシデント対応ポリシに従い、インシデントQの対応についてレビューが開催された。レビューにおいて、最初にG部長から、インシデントPとインシデントQは一連の攻撃だと推定されるという報告があった。次にインシデントQの対応が報告された。インシデントQの対応は、インシデントPの対応に比べて大幅に改善されたとの評価を受け、インシデント対応能力が向上してきていると判断された。最後に、⑦インシデント対応能力について未対応の課題を解決するための措置がまとめられ、順次実施されて行くことになった。

⑦について、図3中の(6)に示された課題a〜dの中から、この時点で未対応の課題を選び、記号で答えよ。また、その課題を解決するための措置を、25字以内で具体的に述べよ。:b/インシデント対応の作業手順書を作成する。

 各課題について、対応状況を問題文から確認します。

  • a. インシデント対応についての各部の責任や役割が曖昧で協力を得にくい場面があった。
    • 「インシデント対応ポリシでは、A-CSIRT及び各部の役割、責任及び権限レベルを規定した。」とあり、対応されているようです。
  • b.インシデント対応についての作業手順が明確になっておらず、手探りの作業となった。このため、掲示板事業者への要請といった措置の着手が遅れた。
    • 「A-CSIRTのメンバであるシステム部のCさんが、外部のインシデント対応研修に参加して得た知識を基に手順を手探りしながらも調査した」とあり、作業手順は明確になっていないようです。
  • c.インシデント対応の経験をもつ者又はスキルをもつ者がおらず、非効率な作業になった。
    • 「メンバのスキルを高めるため、定期的に勉強会を開催し、外部の研修などにも積極的に参加してもらう方針を立てた。」とあり、対応されているようです。
  • d.ログが少なく調査が難航した。開発部はログ取得を定めた規程をもたず、開発部が管理する機器のうちログを取得しているものは少数だった。また、取得していたログの種類や保存期間にばらつきがあった。
    • 「ログについては、ログの管理に関する規定(以下、ログ管理ポリシという)を作成することにした。」とあり、対応されているようです。