📌 結論から理解する
インシデント管理=「発生前・発生時・発生後」の一連の対応
セキュリティインシデントとは、情報漏えい・マルウェア感染・不正アクセスなど、情報セキュリティに影響を与える事象のことです。
重要なのは「起きたらどう動くか」を事前に決めておくこと。
午後問題では「インシデント対応フロー」を正しい順番で答える問題が出ます。
インシデント対応フロー
インシデント対応の7ステップ
1
検知・識別:異常を発見・確認する(アラート、利用者報告など)
2
初動対応:被害の拡大を止める(ネットワーク切断、感染端末隔離)
3
報告・エスカレーション:上司・CSIRT・関係者へ速やかに報告
4
調査・分析:原因・被害範囲を特定(フォレンジック調査)
5
封じ込め・根絶:脅威を完全に除去(マルウェア駆除、脆弱性パッチ適用)
6
復旧:バックアップから復元し、サービスを再開する
7
事後対応・再発防止:原因分析・対策強化・報告書作成
初動対応のポイント
インシデント発生直後は被害拡大を防ぐことが最優先です。
✅ すべきこと
- 感染端末をネットワークから切断・隔離
- 上司・CSIRTへ速報
- ログ・証拠の保全
- 記録(いつ・何が起きたか)
❌ やってはいけない
- 感染端末を再起動(証拠消失)
- 自分だけで隠蔽
- 慌てて削除(調査不能に)
- 状況確認前に復旧
フォレンジック調査
デジタルフォレンジック=デジタル証拠を法的に有効な形で収集・分析する技術。
- ログ・通信記録・メモリのデータを解析
- 証拠の完全性を保つことが重要(ハッシュ値で改ざんを検証)
- チェーン・オブ・カストディ(証拠の管理記録)を維持
BCP(事業継続計画)との関係
BCP(Business Continuity Plan)=大規模インシデントが発生しても重要な業務を継続・早期復旧するための計画。
- RTO(目標復旧時間):いつまでに復旧するか
- RPO(目標復旧時点):どの時点のデータまで復元するか
BCP・RTO・RPOは試験頻出。「RPO=最後のバックアップ時点」と覚えておく。
RTO・RPOのタイムライン図
インシデント発生から復旧までの時間軸
B
最後の
バックアップ
バックアップ
例:前日21時
!
インシデント
発生
発生
例:当日10時
✓
復旧
完了
完了
例:翌日16時
RPO
Recovery Point Objective
B → ! の期間
(どこまでデータを巻き戻すか)
(どこまでデータを巻き戻すか)
例:13時間分のデータは失われる
RTO
Recovery Time Objective
! → ✓ の期間
(いつまでに復旧するか)
(いつまでに復旧するか)
例:30時間以内に復旧
覚え方:RPO=Point(時点)→ 「どの時点に戻るか」。RTO=Time(時間)→ 「どれくらいの時間で復旧するか」。
🧠 確認クイズ
Q1. インシデント発生直後の初動対応として最も優先すべきことは?
Q2. デジタルフォレンジックの説明として正しいのは?
Q3. RPO(目標復旧時点)の説明として正しいのは?