ITパスポート 令和7年度 問68:securityに関する問題
CSIRTとして行う活動の例として,最も適切なものはどれか。
- aOSやアプリケーションソフトウェアのセキュリティパッチを定期的に適用する。
- b地震や洪水などの自然災害を想定し,情報資産を守るために全社的な事業継続計画を策定する。
- cセキュリティ事故の発生時に影響範囲を調査して,被害拡大を防止するための対策実施を支援する。正答
- d保守業者がサーバ室で作業した日に,作業員の入退出が適切に記録されていたことを監査する。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c です。
CSIRT(シーサート)は、会社の中の「セキュリティ事件のための消防隊」です。ウイルス感染や情報漏れなどの“事件が起きたとき”に駆けつけて、どこまで被害が広がったかを調べ、これ以上ひどくならないよう手を打つチームです。
cはまさに「事故が起きたあと、影響を調べて被害拡大を防ぐ」と書いてあるので、これが正解です。
👉 覚え方:CSIRT=「事件が起きたら出動する専門チーム」。
ほかの選択肢:a パッチ当て=日ごろの予防作業/b 災害対策の事業継続計画=会社全体の備え/d 入退室の記録チェック=監査の仕事。どれも“事件対応”そのものではありません。
なぜこれが正解か
正解は c。CSIRT(Computer Security Incident Response Team)はセキュリティインシデント(事故)発生時の対応専門チーム。影響範囲の調査、被害拡大の防止、復旧支援、再発防止が主な役割で、cの記述に合致する。
各選択肢の解説
- a セキュリティパッチの定期適用:平時の脆弱性管理・運用業務であり、インシデント対応そのものではない。
- b 事業継続計画(BCP)の策定:自然災害も含めた事業継続の備えで、経営・リスク管理の領域。
- d 入退室記録の監査:物理セキュリティの監査業務で、監査人の役割。
覚え方・ひっかけ注意
CSIRTの肝は「Incident Response=事故が起きてからの対応」。aの「予防(パッチ)」やbの「計画策定」と混同しやすいが、CSIRTは“起きた後”が主戦場と覚える。
理論的背景
CSIRT(Computer Security Incident Response Team:シーサート)はサイバーセキュリティインシデントに対応するための専門チームであり、正解はcの「セキュリティ事故の発生時に影響範囲を調査して、被害拡大を防止するための対策実施を支援する」である。
CSIRTの概念はCERT/CC(Computer Emergency Response Team / Coordination Center)に起源を持つ。1988年のMorris Worm事件(インターネット上で初めて大規模な被害をもたらしたワームウイルス)を受けて、カーネギーメロン大学にCERT/CCが設立されたのが始まりである。日本ではNISCT(内閣サイバーセキュリティセンター)・JPCERT/CC(Japan Computer Emergency Response Team/Coordination Center)が国家レベルのCSIRTとして機能し、各企業・組織が自社CSIRTを設立・NCA(日本シーサート協議会)に加盟する体制が整っている。
CSIRTの活動領域はインシデント対応(Reactive)とプロアクティブ活動に大別される。Reactiveはインシデント発生時の初動対応・影響範囲特定・封じ込め・根絶・回復・事後分析(ポストモーテム)である。Proactiveは脆弱性情報の収集・警戒情報の発信・セキュリティ教育・セキュリティ評価である。
実務での使われ方
企業CSIRTの実際の業務フローはNIST SP 800-61(コンピュータセキュリティインシデント対応ガイド)の4フェーズが広く採用されている。第1フェーズ「準備」:インシデント対応計画の策定・ツール準備・訓練実施。第2フェーズ「検出と分析」:アラートの受信・トリアージ(重大度の分類)・原因の特定(フォレンジック調査)・影響範囲の確定。第3フェーズ「封じ込め・根絶・回復」:感染端末のネットワーク隔離・マルウェアの除去・パッチ適用・バックアップからの復元・サービス再開。第4フェーズ「事後活動」:ポストモーテム(再発防止策)・KPIの測定(MTTD:平均検出時間・MTTR:平均復旧時間)。
大企業では24時間365日体制のSOC(Security Operations Center)とCSIRTを分離する体制も一般的であり、SOCがリアルタイム監視・アラート検知を担い、CSIRTが深度ある調査と対応を担当する分業が定着している。
試験での位置づけ
CSIRTはITパスポートのセキュリティ分野で頻出用語であり、SOC・SIEM・ペネトレーションテスト・内部監査・事業継続計画(BCP)との役割の違いを問う形式で出題される。本問の選択肢を整理すると:選択肢aはセキュリティパッチ適用(運用管理業務・脆弱性管理)、選択肢bはBCP/BCM(事業継続計画)策定業務、選択肢cがCSIRT(インシデント発生時の対応支援)、選択肢dは内部監査(システム監査の一種)の説明にそれぞれ対応している。
情報処理安全確保支援士試験では、CSIRTの設立・運営・役割分担、インシデント対応手順書の設計、フォレンジック調査の手法(デジタルフォレンジクス・チェーンオブカストディ)、脅威インテリジェンス(MITRE ATT&CK・STIX/TAXII)の活用まで出題範囲が拡がる。
選択肢の発展補足
選択肢aのセキュリティパッチ適用は「ITシステム運用・脆弱性管理」の業務に該当し、CSIRT設置以前から実施されている基本的なセキュリティ対策である。近年のゼロデイ脆弱性(パッチ未提供段階での攻撃)への対応では、パッチが利用可能になるまでのWAF(Web Application Firewall)による仮想パッチ適用・攻撃トラフィックのブロック等の補完措置をCSIRTが指示するケースもある。選択肢bのBCP(事業継続計画)はCSIRT活動と連携するが、地震・洪水などの自然災害はCSIRTの主たる対象ではなく、全社的なリスク管理委員会・BCM(Business Continuity Management)組織が担う。選択肢dの内部監査は事前予防的・定期的な評価活動であり、CSIRTの事後対応・インシデント対応とは性質が根本的に異なる。ただし内部監査の発見事項がCSIRTの改善テーマに反映されるという連携関係はある。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度 問68/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。