FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:インシデントレスポンスの最初のステップとして適切なものはどれ…
問題
インシデントレスポンスの最初のステップとして適切なものはどれか。
- ア 関係者への損害賠償
- イ 再発防止策の策定
- ウ 被害の復旧
- エ インシデントの検知と識別(正解)
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:インシデントの検知と識別
論点:インシデントレスポンスの初動として最優先すべき作業を問う問題です。正解はエです。まず発生している事象を検知し、それが本当にセキュリティインシデントなのかを識別する必要があります。検知と識別ができなければ、封じ込め、根絶、復旧、報告といった後続の対応に進めません。
対応の流れ:一般的には、準備、検知・分析、封じ込め、根絶、復旧、事後対応という流れで考えます。ウの復旧やイの再発防止策は後段の作業であり、アの損害賠償は技術的な初動対応ではありません。初動では「何が起きたかを確認する」が最優先と覚えておくと迷いません。
関連知識:NIST SP 800-61では、対応工程を「準備」「検知・分析」「封じ込め・根絶・復旧」「事後活動」の4段階に整理しています。検知は分析と一体で扱われ、誤検知の除外や影響範囲の見極め(トリアージ)まで含む点を押さえると、なぜ初動が「検知と識別」になるのか納得しやすくなります。
他の選択肢はなぜ違う?
- ア損害賠償は対応プロセスのステップではない。
- イ再発防止策は事後対応の段階。
- ウ復旧は封じ込め・根絶の後の段階。最初は検知と識別。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。