対象試験と出題頻度
インシデントレスポンスは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
セキュリティインシデント対応の基本的な流れを理解しておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
インシデントレスポンス(Incident Response)とは、一言で言うと「セキュリティインシデントが発生した際に、被害を最小限に抑えて復旧するための一連の対応プロセス」のことです。
イメージとしては、「火事が起きたときの消火活動から事後報告までの一連の流れ」のようなものです。
火事を発見したら(検知)、まず火の規模を確認して対応方針を決め(トリアージ)、消火活動を行い(対応)、最後に消防署に報告書を提出する(報告)。インシデントレスポンスも、これと同じような流れでセキュリティ事故に対処します。
情報処理試験を勉強していると、「インシデントレスポンスって、具体的に何をするの?」「トリアージって聞き慣れない言葉だな…」と感じるかもしれません。この記事では、検知・トリアージ・対応・報告の4つのステップに分けて、それぞれの役割をわかりやすく解説します。
📊 インシデントレスポンスの基本情報
| 項目 | 内容 |
|---|---|
| 日本語 | インシデント対応 |
| 目的 | インシデントの被害最小化、早期復旧、再発防止 |
| 主なステップ | 検知 → トリアージ → 対応 → 報告 |
| 担当組織 | CSIRT(シーサート)など |
解説
インシデントレスポンスは、セキュリティインシデント(不正アクセス、マルウェア感染、情報漏えいなど)が発生した際に、組織が取るべき対応の全体像を指します。
「何か起きたときにどう動くか」をあらかじめ決めておき、いざというときに迅速かつ適切に対応できるようにすることが重要です。
インシデントとは
まず「インシデント」という言葉を確認しておきましょう。セキュリティインシデントとは、情報セキュリティに悪影響を与える、または与える可能性のある事象のことです。
💡 セキュリティインシデントの例
・不正アクセス(外部からの侵入)
・マルウェア感染(ウイルス、ランサムウェアなど)
・情報漏えい(顧客データの流出など)
・DoS攻撃(サービス妨害)
・内部不正(従業員による情報持ち出しなど)
・設定ミスによるデータ公開
インシデントレスポンスの4つのステップ
インシデントレスポンスは、一般的に「検知」「トリアージ」「対応」「報告」の4つのステップで構成されます。試験ではこの流れを理解しているかが問われます。
📊 インシデントレスポンスの4ステップ
| ステップ | やること | 火事に例えると |
|---|---|---|
| ① 検知 | インシデントの発生を発見・認識する | 煙を見つける、火災報知器が鳴る |
| ② トリアージ | 影響範囲・深刻度を判断し、優先順位を決める | 火の規模を確認、消火器か消防車か判断 |
| ③ 対応 | 封じ込め、根絶、復旧を行う | 消火活動、避難誘導、鎮火 |
| ④ 報告 | 関係者への報告、記録、再発防止策の策定 | 消防署への報告、原因調査、防火対策 |
ステップ1:検知(Detection)
検知は、インシデントが発生したことを発見・認識するステップです。
検知の方法はさまざまです。SOCによる監視でアラートが上がる、従業員が不審なメールを報告する、顧客から「情報が漏れているのでは」と連絡が来る、外部のセキュリティ機関から通報を受ける、といったケースがあります。
ここで重要なのは、「検知が早いほど被害を小さく抑えられる」という点です。そのため、SOCによる24時間監視や、従業員へのセキュリティ意識教育が重要になります。
💡 検知のポイント
目的:インシデントの発生をいち早く認識する
方法:SOCの監視、IDS/IPSのアラート、従業員からの報告、外部からの通報
ポイント:早期検知が被害最小化のカギ
ステップ2:トリアージ(Triage)
トリアージは、検知したインシデントの影響範囲や深刻度を判断し、対応の優先順位を決めるステップです。
「トリアージ」は医療用語で、災害現場などで多数の負傷者がいるときに「誰から治療するか」を判断することを指します。インシデントレスポンスでも同様に、「このインシデントはどのくらい深刻か」「今すぐ対応が必要か」を判断します。
すべてのアラートが重大なインシデントとは限りません。誤検知の場合もあれば、影響が軽微な場合もあります。トリアージでは、限られたリソースを効果的に配分するために、対応の優先度を決めます。
📌 トリアージのポイント
目的:インシデントの深刻度を判断し、優先順位を決める
判断項目:影響を受けるシステム・データ、被害の規模、拡大の可能性
ポイント:すべてに全力対応は不可能。重要なものから対処する
ステップ3:対応(Response)
対応は、実際にインシデントに対処するステップです。対応はさらに「封じ込め」「根絶」「復旧」の3つのフェーズに分けられることがあります。
📊 対応の3つのフェーズ
| フェーズ | 内容 | 例 |
|---|---|---|
| 封じ込め | 被害の拡大を防ぐ | 感染端末のネットワーク切断、アカウント停止 |
| 根絶 | 脅威の原因を取り除く | マルウェアの駆除、侵入経路の遮断 |
| 復旧 | システムを正常な状態に戻す | バックアップからの復元、サービス再開 |
ステップ4:報告(Reporting)
報告は、インシデント対応の結果を記録し、関係者に報告するステップです。また、再発防止策を検討して次に活かすことも重要な活動です。
報告先は、経営層、監督官庁、顧客、株主など、インシデントの内容や影響範囲によって異なります。個人情報漏えいの場合は、個人情報保護委員会への報告が法的に義務付けられているケースもあります。
📝 報告のポイント
目的:対応結果の記録、関係者への報告、再発防止策の策定
報告先:経営層、監督官庁、顧客、株主など(インシデント内容による)
ポイント:教訓を次に活かす(事後レビュー)
インシデントレスポンス計画の重要性
インシデントが起きてから「どうしよう」と考えていては、対応が後手に回ってしまいます。そのため、あらかじめインシデントレスポンス計画(IRP:Incident Response Plan)を策定しておくことが重要です。
計画には、対応手順、連絡体制、役割分担、エスカレーションルールなどを定めておきます。また、定期的な訓練を行い、計画どおりに動けるかを確認することも大切です。
⚠️ 実務でのポイント
インシデントレスポンスは「起きてから考える」では遅いです。平常時に計画を策定し、訓練を行い、いざというときに迅速に動ける体制を整えておくことが重要です。試験ではここまで詳しく問われませんが、「事前の準備が重要」という点は押さえておきましょう。
試験ではこう出る!
インシデントレスポンスは、セキュリティインシデント対応に関する問題で登場します。以下のポイントを押さえておきましょう。
【頻出キーワード】
- セキュリティインシデントへの対応プロセス
- 検知 → トリアージ → 対応 → 報告の流れ
- トリアージ:深刻度の判断、優先順位付け
- 対応:封じ込め → 根絶 → 復旧
- CSIRTがインシデントレスポンスを担当
試験問題で「セキュリティインシデントが発生した際の対応プロセス」や「インシデントの検知から報告までの一連の流れ」といった記述があれば、それは「インシデントレスポンス」に関する記述です。
📝 IPA試験での出題パターン
インシデントレスポンスの問題は、「インシデント対応の流れとして適切なものを選べ」「トリアージで行う活動として適切なものを選べ」といった形式が考えられます。特に「トリアージ=優先順位の判断」というポイントは押さえておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. インシデントレスポンスにおける「トリアージ」の説明として、最も適切なものはどれでしょうか?
- A. 検知したインシデントの影響範囲や深刻度を判断し、対応の優先順位を決定するプロセス
- B. マルウェアを駆除し、侵入経路を遮断して脅威の原因を取り除くプロセス
- C. インシデント対応の結果を記録し、経営層や監督官庁に報告するプロセス
正解と解説を見る
正解:A
解説:
トリアージは、検知したインシデントの影響範囲や深刻度を判断し、対応の優先順位を決定するプロセスです。もともとは医療用語で、災害現場で多数の負傷者がいる際に「誰から治療するか」を判断することを指します。インシデントレスポンスでも、限られたリソースを効果的に配分するために、どのインシデントから対処すべきかを判断します。
選択肢Bは「対応」フェーズの中の「根絶」にあたる活動です。封じ込め→根絶→復旧という流れで実施されます。選択肢Cは「報告」フェーズの活動です。インシデントレスポンスは、検知→トリアージ→対応→報告の順で進みます。
