基本情報技術者試験の科目Bにおけるセキュリティ対策の中でも重要なのが、インシデント発生時の初動対応。
実際の試験でも問われるテーマなので、図にして流れを整理してみました。
インシデント発生!最初にやるべきことは?
インシデントが起こったとき、最優先で行うべき初動対応は以下のようなことです。
🟠 上長への連絡
- まずは直接の上長へ報告。その後、CSIRT(シーサート)などインシデント対策チームへの報告・相談を行う。
🟠 ネットワークからの隔離
- LANケーブルを抜く、無線LANを切断するなどして、感染の拡大を防止。
🟠 ソフトウェアの利用停止
- ビジネスの影響がある場合は、損益を考慮しつつ慎重に判断。
🟠 パスワードの変更
- 感染が疑われるPCからは変更しないこと(被害拡大防止のため)。
🟠 脆弱性修正プログラムの適用(セキュリティパッチ)
- 脆弱性が発見された場合、公式の修正プログラムを速やかに適用。
🟠 怪しいファイルの開封やリンクのクリックを禁止
- 心理的に焦ってしまう場面でも、冷静な判断が求められる。
🟠 Webブラウザの詐欺警告に反応しない
- 「すぐに電話して!」などの詐欺に反応してしまわないよう注意。
絶対にやってはいけないこと
🟥 感染PCの電源を切る・再起動する
- メモリ上の証拠が消えてしまう可能性があるため、基本的にNG。
🟥 PC初期化・ファイル操作
- HDDやSSDの情報が消えてしまい、デジタルフォレンジックに支障が出る。
✅ デジタルフォレンジックとは:
情報セキュリティの事件・事故を調査し、証拠を保全する技術。
ビジネスの継続か、証拠の保全か?
インシデント対応では、「ビジネスの継続」と「証拠の保全」のバランスが求められます。
拙速な対応で証拠を消してしまっては、本末転倒。
そのためには 判断の冷静さと、体制の整備(CSIRTといった対策チームの編成など) が大切です。
おわりに
図にして整理することで、どの順番で、どんな対応を取るべきかがクリアになりました。
情報セキュリティ科目Bは、こうした流れをしっかり把握しておくと、試験問題でも迷いません。
今後も図や表でまとめながら、知識を定着させていきたいと思います!
コメント