ITパスポート 令和3年度 問81:セキュリティに関する問題
J-CRATに関する記述として,適切なものはどれか。
- a企業などに対して,24時間体制でネットワークやデバイスを監視するサービスを提供する。
- bコンピュータセキュリティに関わるインシデントが発生した組織に赴いて,自らが主体となって対応の方針や手順の策定を行う。
- c重工,重電など,重要インフラで利用される機器の製造業者を中心に,サイバー攻撃に関する情報共有と早期対応の場を提供する。
- d相談を受けた組織に対して,標的型サイバー攻撃の被害低減と攻撃の連鎖の遮断を支援する活動を行う。正答
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは d です。
J-CRAT(ジェイ・クラート)は、特定の会社を狙い撃ちするサイバー攻撃(標的型攻撃)の被害を減らす手助けをする組織です。相談を受けて、被害を小さくしたり、攻撃が他の会社へ広がる“連鎖”を断ち切る支援をします。
👉 覚え方:「CRAT=サイバーレスキュー隊。相談されて助けに来てくれる」。
ほかの選択肢:a 24時間ずっと監視する有料サービス(SOC)の説明/b 現場に行って自分が主役で対応する(CSIRTの一部の説明に近い)/c 重要インフラの製造業者で情報共有する場(J-CSIP)の説明。どれもJ-CRATとは別物です。
なぜこれが正解か
正解は d。J-CRAT(サイバーレスキュー隊)はIPAが運営し、標的型サイバー攻撃を受けた、または受けたおそれのある組織からの相談に応じ、被害の低減と攻撃の連鎖の遮断を支援する活動を行う。
各選択肢の解説
- a 誤り:24時間体制の監視サービスはSOC(Security Operation Center)の説明。
- b 誤り:現地に赴き自らが主体となって方針・手順を策定するのはCSIRT(組織内のインシデント対応チーム)寄りの説明で、J-CRATは『支援』が役割。
- c 誤り:重要インフラ機器の製造業者を中心に情報共有・早期対応の場を提供するのはJ-CSIP(サイバー情報共有イニシアティブ)の説明。
覚え方・ひっかけ注意
IPA系の似た略語の識別が肝。J-CRAT=レスキュー(救助・支援)/J-CSIP=情報共有(シェア)。『標的型攻撃の被害低減・連鎖遮断を支援』とくればJ-CRAT。
理論的背景
J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan: サイバーレスキュー隊) は2014年4月に IPA(独立行政法人情報処理推進機構)が設立した、標的型サイバー攻撃への対応支援に特化した組織だ。
標的型攻撃(Advanced Persistent Threat: APT)の特徴:
- 特定組織を長期間にわたって狙い続ける(一般的なウイルスと異なり的を絞る)
- スピアフィッシングメール(受信者に合わせた内容で巧妙に装う標的型メール)から始まることが多い
- 侵入後に組織内を横展開(ラテラルムーブメント)し、情報を盗み取りながら長期潜伏する
- 一組織の侵害が取引先・関連機関への「攻撃の連鎖」を引き起こす
J-CRAT の役割は「相談を受けた組織への支援」に限定される点が重要で、自ら主体となって対応を実施するわけではない。被害を受けた組織の要請を受けて、分析・助言・場合によっては現地支援を提供し、攻撃の連鎖を断ち切ることを目指す。
関連組織との役割分担
IPA・政府機関のサイバーセキュリティ体制は機能別に分担されている:
| 組織 | 役割 |
|---|---|
| J-CRAT | 標的型攻撃を受けた組織への支援・連鎖遮断 |
| J-CSIP | 重要インフラ・製造業者間の標的型攻撃情報の共有枠組み |
| JPCERT/CC | 国内の CSIRT 調整機関・脆弱性情報の調整・公開 |
| NISC | 内閣サイバーセキュリティセンター。政府全体の戦略・司令塔 |
| CSIRT | 各組織内のインシデント対応チーム(自組織の対応が主役) |
| SOC | Security Operation Center。24時間体制でネットワーク・デバイスを監視 |
J-CSIP(サイバー情報共有イニシアティブ)は IPA が運営する重要インフラ機器の製造業者等が参加するクローズドな情報共有枠組みで、参加組織間で攻撃情報を共有し早期対応を図る。選択肢 c がこの J-CSIP の説明に該当する。
試験での位置づけ
ITパスポートのセキュリティマネジメント・テクノロジ系で「IPA 関連の組織・制度の識別」は安定した頻出テーマ。略語が似ている(J-CRAT・J-CSIP・JPCERT)上にカタカナ名(サイバーレスキュー隊・情報共有イニシアティブ・コーディネーションセンター)との対応も求められる。「J-CRAT = 標的型攻撃を受けた組織を助けに来る(レスキュー)チーム」というストーリーで記憶するのが最も定着しやすい。本問の選択肢はいずれも「それらしい」記述であるため、「24時間監視 = SOC」「現地で主体となって対応 = CSIRT の仕事」「製造業者の情報共有 = J-CSIP」「支援する = J-CRAT」と役割語で整理することが確実な対策だ。
選択肢の発展補足
選択肢 a「24時間体制でネットワーク・デバイスを監視するサービス」 は SOC(Security Operation Center) の説明。SOC は監視ツール(SIEM・IDS・EDR 等)を使って常時監視を行い、異常を検知した場合は関係者に通報・対応を開始する。24時間365日の有人監視が特徴で、企業が外部の MSSP(Managed Security Service Provider)に委託する場合も多い。
選択肢 b「現地に赴いて自らが主体となって対応方針・手順の策定を行う」 は CSIRT(Computer Security Incident Response Team)のインシデント対応活動の説明に近い。CSIRT は各組織内(または業界横断型)に設置され、インシデント発生時に主体的に対応する常設チーム。J-CRAT はあくまでも「外部から支援する」立場であり、自らが主役となって実施するのではない点が選択肢 b との決定的な違いだ。
選択肢 c「重工・重電など重要インフラ機器の製造業者を中心に情報共有と早期対応の場を提供する」 は J-CSIP(サイバー情報共有イニシアティブ) の定義そのもの。J-CSIP への参加は IPA との合意のもとで行われ、参加企業間で攻撃メールのサンプル・IOC(侵害指標)等を共有する。J-CRAT の「支援を受ける側」と J-CSIP の「情報を共有する側」の役割の違いを理解しておくことが重要だ。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問81/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。