対象試験と出題頻度
トリアージは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されることがあるテーマです。インシデントレスポンスの一部として、「優先順位を決める」という役割を押さえておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
トリアージ(Triage)とは、一言で言うと「セキュリティインシデントの深刻度を判断し、対応の優先順位を決定するプロセス」のことです。
イメージとしては、「救急病院の受付で、重症度に応じて診察の順番を決める」ようなものです。
病院に多くの患者が来たとき、軽い風邪の人より、心臓発作の人を先に診ますよね。セキュリティの世界でも同じで、複数のインシデントが発生したとき、「どれから対応すべきか」を判断するのがトリアージです。
情報処理試験を勉強していると、「トリアージって聞き慣れない言葉だな…」と感じる人も多いのではないでしょうか。もともとは医療・災害救助の用語ですが、セキュリティ分野でも同じ考え方が使われています。「限られたリソースで、最も重要なものから対処する」という考え方は、どの分野でも共通です。
📊 トリアージの基本情報
| 項目 | 内容 |
|---|---|
| 語源 | フランス語の「trier」(選別する)に由来 |
| 元の分野 | 医療・災害救助(傷病者の選別) |
| セキュリティでの意味 | インシデントの深刻度判断と優先順位付け |
| 位置づけ | インシデントレスポンスの「検知」と「対応」の間 |
解説
トリアージは、インシデントレスポンス(インシデント対応)の重要なステップの一つです。セキュリティインシデントを検知した後、実際の対応に入る前に「このインシデントはどのくらい深刻か」「すぐに対応すべきか」を判断します。
なぜトリアージが必要なのか
セキュリティの現場では、日々大量のアラートや報告が発生します。しかし、すべてに同時に対応することは現実的に不可能です。人員も時間も限られている中で、どのインシデントから対処するかを決めなければなりません。
また、すべてのアラートが重大なインシデントとは限りません。誤検知(実際には問題ないのにアラートが出る)もあれば、影響が軽微なものもあります。トリアージによって、本当に対応が必要なインシデントを見極め、リソースを効果的に配分することができます。
💡 トリアージが必要な理由
・すべてのインシデントに同時対応は不可能
・リソース(人員・時間)は限られている
・アラートには誤検知や軽微なものも含まれる
・重大なインシデントを見逃さないため
・対応の遅れによる被害拡大を防ぐため
トリアージで判断する項目
トリアージでは、以下のような項目を確認してインシデントの深刻度を判断します。
📊 トリアージの判断項目
| 判断項目 | 確認内容 |
|---|---|
| 影響を受けるシステム | 基幹システムか、重要度の低いシステムか |
| 影響を受けるデータ | 個人情報や機密情報が含まれるか |
| 被害の規模 | 影響を受けるユーザー数、金銭的損失の見込み |
| 拡大の可能性 | 放置すると被害が広がるか |
| 攻撃の進行状況 | 現在進行中か、すでに終了しているか |
トリアージの結果による分類
トリアージの結果、インシデントは優先度に応じて分類されます。組織によって分類方法は異なりますが、一般的には以下のような区分が使われます。
📊 トリアージによる優先度分類の例
| 優先度 | 深刻度 | 対応方針 |
|---|---|---|
| 緊急(Critical) | 基幹システム停止、大規模情報漏えい等 | 即座に全リソースを投入して対応 |
| 高(High) | 重要システムへの影響、拡大の恐れあり | 優先的に対応チームを割り当て |
| 中(Medium) | 限定的な影響、拡大の恐れは低い | 計画的に対応 |
| 低(Low) | 影響軽微、または誤検知の可能性 | 状況を監視、必要に応じて対応 |
インシデントレスポンスにおけるトリアージの位置づけ
トリアージは、インシデントレスポンス(インシデント対応)の流れの中で、「検知」と「対応」の間に位置します。
📌 インシデントレスポンスの流れ
① 検知:インシデントの発生を発見・認識する
② トリアージ:深刻度を判断し、優先順位を決める ← ここ!
③ 対応:封じ込め、根絶、復旧を行う
④ 報告:関係者への報告、記録、再発防止策の策定
検知されたインシデントすべてに即座に全力対応することは現実的ではありません。トリアージによって優先順位を決めることで、重大なインシデントに迅速に対応しつつ、軽微なものは後回しにする、という効率的な対応が可能になります。
医療におけるトリアージとの比較
セキュリティのトリアージは、医療・災害救助のトリアージから概念を借りています。両者を比較すると、考え方がより理解しやすくなります。
📊 医療とセキュリティのトリアージ比較
| 項目 | 医療のトリアージ | セキュリティのトリアージ |
|---|---|---|
| 対象 | 傷病者 | セキュリティインシデント |
| 目的 | 治療の優先順位を決める | 対応の優先順位を決める |
| 判断基準 | 重症度、救命の可能性 | 深刻度、影響範囲、拡大の可能性 |
| 背景 | 医療リソースの制約 | セキュリティ人員・時間の制約 |
⚠️ 実務でのポイント
トリアージを効果的に行うためには、あらかじめ判断基準を明確にしておくことが重要です。「どのシステムが重要か」「どのデータを優先的に守るか」といった情報資産の重要度を事前に整理しておくと、いざというときの判断が迅速になります。試験ではここまで詳しく問われませんが、「事前準備が重要」という点は覚えておきましょう。
試験ではこう出る!
トリアージは、インシデント対応に関する問題で登場することがあります。以下のポイントを押さえておきましょう。
【頻出キーワード】
- インシデントの深刻度を判断する
- 対応の優先順位を決定する
- 医療用語からの借用(傷病者の選別)
- インシデントレスポンスの「検知」と「対応」の間に位置
- 限られたリソースを効果的に配分する
試験問題で「インシデントの深刻度を判断し、対応の優先順位を決めるプロセス」や「複数のインシデントが発生した際に、どれから対処するかを決定する活動」といった記述があれば、それは「トリアージ」に関する記述です。
📝 IPA試験での出題パターン
トリアージの問題は、「トリアージの説明として適切なものを選べ」「インシデント対応において優先順位を決定するプロセスは何か」といった形式が考えられます。
「優先順位の決定」「深刻度の判断」というキーワードが出てきたらトリアージを思い出しましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. セキュリティインシデント対応における「トリアージ」の説明として、最も適切なものはどれでしょうか?
- A. セキュリティ監視ツールがインシデントの発生を自動的に検知するプロセス
- B. インシデント対応の結果を記録し、経営層や監督官庁に報告するプロセス
- C. インシデントの深刻度や影響範囲を判断し、対応の優先順位を決定するプロセス
正解と解説を見る
正解:C
解説:
トリアージは、セキュリティインシデントの深刻度や影響範囲を判断し、対応の優先順位を決定するプロセスです。もともとは医療・災害救助の用語で、多数の傷病者がいる際に「誰から治療するか」を判断することを指します。セキュリティの世界でも、限られたリソースを効果的に配分するために、どのインシデントから対処すべきかを判断します。インシデントレスポンスの流れでは、「検知」と「対応」の間に位置します。
選択肢Aは「検知(Detection)」の説明です。SOCやIDS/IPSなどがインシデントの発生を発見・認識するプロセスです。選択肢Bは「報告(Reporting)」の説明です。インシデント対応の結果を記録し、関係者に報告するとともに再発防止策を策定するプロセスです。
