セキュリティ
インシデントレスポンス手順の一般的なフェーズとして、最も適切な順序はどれか。
ア.復旧→根絶→封じ込め→検知・分析→事後レビュー→準備の順が標準プロセスである。
イ.準備→検知・分析→封じ込め→根絶→復旧→事後レビューの順で対応する。正解
ウ.検知後は直ちにシステムを完全削除して再構築し、封じ込め・根絶・復旧フェーズを省略することが推奨される。
エ.インシデント発生後は攻撃者を特定するための法的捜査が最優先で、サービス復旧は捜査完了後にのみ実施できる。
解説
インシデント対応は「火災対応」と同じ構造。消防士は①事前訓練(準備)→②火を発見(検知)→③燃え広がりを止める(封じ込め)→④火元を消す(根絶)→⑤元通りにする(復旧)→⑥なぜ起きたか検討(事後レビュー)の順で動く。
なぜ イ が正解か
イが正解。NIST SP 800-61やSANS IRフレームワークで定められた標準手順。準備(Preparation):インシデント対応計画策定・ツール整備。検知・分析(Detection & Analysis):ログ解析・インシデント確認・範囲特定。封じ込め(Containment):感染拡大防止(ネットワーク隔離等)。根絶(Eradication):マルウェア削除・脆弱性修正。復旧(Recovery):サービス再開・監視強化。事後(Post-Incident):ポストモーテム・再発防止策。
出典: AI生成問題(学習用)