メインコンテンツへ
セキュリティセキュリティ実践

インシデントレスポンス手順の一般的なフェーズとして、最も適切な順序はどれか。

ア.復旧→根絶→封じ込め→検知・分析→事後レビュー→準備の順が標準プロセスである。
イ.準備→検知・分析→封じ込め→根絶→復旧→事後レビューの順で対応する。正解
ウ.検知後は直ちにシステムを完全削除して再構築し、封じ込め・根絶・復旧フェーズを省略することが推奨される。
エ.インシデント発生後は攻撃者を特定するための法的捜査が最優先で、サービス復旧は捜査完了後にのみ実施できる。

解説

インシデント対応は「火災対応」と同じ構造。消防士は①事前訓練(準備)→②火を発見(検知)→③燃え広がりを止める(封じ込め)→④火元を消す(根絶)→⑤元通りにする(復旧)→⑥なぜ起きたか検討(事後レビュー)の順で動く。

なぜ イ が正解か

イが正解。NIST SP 800-61やSANS IRフレームワークで定められた標準手順。準備(Preparation):インシデント対応計画策定・ツール整備。検知・分析(Detection & Analysis):ログ解析・インシデント確認・範囲特定。封じ込め(Containment):感染拡大防止(ネットワーク隔離等)。根絶(Eradication):マルウェア削除・脆弱性修正。復旧(Recovery):サービス再開・監視強化。事後(Post-Incident):ポストモーテム・再発防止策。

なぜ ア は間違いか

順序が逆になっている。復旧は根絶の後、根絶は封じ込めの後に行う。順番の誤りはリスクを増大させる。

なぜ ウ は間違いか

直ちにシステム削除はフォレンジック証拠を失い、根本原因の特定が不可能になる。手順を省略した対応は再発リスクが高い。

なぜ エ は間違いか

法的捜査と事業継続は並行して進める。捜査完了まで復旧しないという制約は事業損害が過大になり非現実的。フォレンジック証拠保全と復旧作業は両立できる。

出典: AI生成問題(学習用)