情報処理安全確保支援士試験 令和3年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問1(一部、加工あり)】
[条件2と条件3への対応]
条件2と条件3に対応すべく、Hさんは、図6に示すN社インシデント対応ポリシ案を作成し、T氏のレビューを受けた。
次は、レビューの際のT氏とHさんの会話である。
T氏:インシデント対応プロセスも整理すべきです。NISTの文書SP 800-61 Rev.2に記載されているインシデント対応のライフサイクルを図7に示します。
Hさん:分かりました。図6の一部として整理します。ところで、今後のインシデント対応における技術面について不安があります。
T氏:インシデント対応サービスを提供し、登録セキスペが多数在籍する専門事業者が幾つかあります。そのような事業者に支援を依頼するとよいと思います。
Hさん:分かりました。表2に専門事業者とその役割を追加します。
N社は、検討結果を取りまとめ、B社の了承を得た。
c:情報セキュリティ委員会
部門Cは、「基本方針の策定やN社インシデント対応ポリシの承認を担当する」というN社の中で情報セキュリティに関する大きな役割を持つ部門のようです。
問題文からこれに関連しそうな部分を探しますが、このような組織構成に関する部分は問題文の前半に記述されることが多いことを念頭に入れておきましょう。
すると、図1(N社の組織図)の後に、「N社は、情報セキュリティ委員会を設置している。同委員会は、経営陣が委員となり、情報セキュリティについての基本方針及び重要な課題を取り扱う。」とあり、情報セキュリティ委員会が基本方針を策定する部門と考えられます。
また、図6(N社インシデント対応ポリシ案(抜粋))に、「その他の権限が必要な場合、N -CSIRT長は、情報セキュリティ委員会の承認を得る。」「不特定多数への情報開示には、事前に情報セキュリティ委員会の承認を得る。」とあり、同じく情報セキュリティ委員会がN -CSIRTによるN社インシデントポリシの承認を担当する部門であることが分かります。
d:検知、e:分析、f:根絶
NIST(National Institute of Standards and Technology 米国国立標準技術研究所)のSP800シリーズは、情報セキュリティに関するマネジメント、評価指標、インシデント対応など様々な文書を公開しています。
問題文のSP800-61にあるインシデント対応のライフサイクルでは、以下のように記述されています。
「インシデント対応プロセスの主なフェーズには、準備、検知と分析、封じ込め/根絶/復旧、事件後の対応がある」(コンピュータセキュリティインシデント対応ガイド)