IPA|情報処理技術者試験

【情報処理安全確保支援士】CSIRT・インシデント対応を完全攻略|午後問題で問われる思考法を徹底解説

情報処理安全確保支援士試験の合格を掴むためには、単なる知識の暗記だけでは不十分です。「もしインシデントが発生したら、あなたはどう動くか?」──その実践的な思考力が、特に午後問題では厳しく問われます。サイバー攻撃が日常の脅威となった今、セキュリティインシデントは「発生させない対策」と同時に、「発生を前提とした事後対応」が組織の命運を分けるからです。

多くの受験者が「CSIRT」「SOC」「フォレンジック」といった用語は知っているものの、それぞれの役割の違いや、インシデント発生から収束までの一連の流れを具体的にイメージできずにいます。例えば、検知を担うSOCから、対応の司令塔であるCSIRTへは、どのような情報が、どのタイミングで連携されるのでしょうか。押収した証拠のハッシュ値は、法廷でどのような意味を持つのでしょうか。

この記事では、ご提示いただいた一問一答をベースに、これらの「点」の知識を、実務で活きる「線」のストーリーへと繋げることを目指します。体系的な解説はもちろん、身近な例えや実際の業務シナリオを豊富に取り入れ、難解なセキュリティインシデント対応の全体像を解き明かしていきます。本記事を読み終える頃には、支援士として現場の最前線に立つための、盤石な知識の土台が築かれているはずです。

CSIRTとSOCはどう違う?【支援士試験】役割分担と連携フローを徹底解説

インシデント対応の体制を学ぶ上で、誰もが最初に直面するのが「CSIRT(シーサート)」と「SOC(ソック)」という2つの組織です。両者は密接に連携しますが、その目的と役割は明確に異なります。情報処理安全確保支援士試験の午後問題でも、両者の役割を理解しているかを問うシナリオが頻出です。

このセクションでは、両者の違いを「病院」に例えながら、具体的な業務内容と連携フローを明らかにしていきます。

CSIRTとSOCの役割:司令塔と監視塔

まず、それぞれの組織の役割を整理しましょう。

  • CSIRT (Computer Security Incident Response Team)
    インシデント発生時に、組織全体の対応を指揮する「司令塔」です。検知されたインシデントの分析、原因究明、封じ込め、復旧、そして経営層や法務・広報といった関連部署との調整まで、対応全体のハンドリングを担います。
  • SOC (Security Operation Center)
    24時間365日、ネットワークやサーバーを監視し、サイバー攻撃の兆候をいち早く検知する「監視塔」です。膨大なログの中から、インシデントの"芽"を見つけ出し、分析してCSIRTへ報告(エスカレーション)することが主な任務です。

【身近な例え:病院における役割分担】

  • SOC:救急外来の受付・トリアージ担当医
    常に多くの患者(=通信ログ)の状態を監視し、「緊急手術が必要そうな重篤な患者(=インシデント)だ!」といち早く見つけ出し、初期診断を行う役割です。
  • CSIRT:専門外科医チーム・集中治療室(ICU)
    SOCから引き継がれた重篤な患者に対し、精密検査(=詳細分析)を行い、手術の執刀(=インシデント対応)をし、再発防止のリハビリ計画(=恒久対策)まで責任を持つ専門家集団です。院内各所との連携も主導します。

このように、「見つけるプロ」がSOC「対処するプロ」がCSIRTと覚えると理解しやすくなります。

一目でわかる!CSIRTとSOCの比較表

両者の違いをより明確にするため、目的や業務内容、求められるスキルなどを表にまとめました。

項目 SOC (Security Operation Center) CSIRT (Computer Security Incident Response Team)
目的 インシデントの早期検知分析 インシデントへの対応調整、再発防止
時間軸 平常時(常に監視) 異常時・インシデント発生時(有事に活動)
主な業務 ・ログ監視、分析
・セキュリティアラートの調査
・脅威インテリジェンスの収集		 ・インシデント対応の指揮
・フォレンジック調査
・関係各所への報告、調整
・脆弱性情報の管理、注意喚起
・再発防止策の策定
必要なスキル ログ分析能力、攻撃手法の知識、セキュリティ製品の運用スキル 技術的スキルに加え、プロジェクト管理能力、コミュニケーション能力、交渉力、法制度の知識
キーワード 監視、検知、分析、エスカレーション 調整、指揮、対応、報告、教訓化

【実務シナリオ】マルウェア感染インシデント発生時の連携フロー

では、実際に企業のサーバーがマルウェアに感染した疑いがある場合、SOCとCSIRTはどのように連携するのでしょうか。

  1. 【SOC】検知・初期分析
    SOCアナリストがSIEM(統合ログ管理システム)で「通常とは異なる、海外サーバーへの不審な通信」を検知。即座に該当サーバーのログを分析し、マルウェア感染の可能性が高いと判断します。
  2. 【SOC→CSIRT】エスカレーション(報告)
    SOCはインシデントの脅威度を「高」と判定。あらかじめ定められたルールに基づき、CSIRTへエスカレーションします。この時、「いつ、どのサーバーで、どのような事象が、どのような根拠で」インシデントと判断したかを正確に伝達します。
  3. 【CSIRT】対応の開始
    報告を受けたCSIRTは、インシデント対応責任者として全体の指揮を開始。まず被害拡大を防ぐため、ネットワークからの隔離を指示。同時に、法務部門や広報部門へインシデント発生の第一報を入れ、情報開示の準備について連携を開始します。
  4. 【CSIRT】詳細分析と恒久対応
    CSIRTはSOCと協力して、感染原因の特定や被害範囲の調査(フォレンジック)を進めます。根本原因を特定した後、システムの復旧計画を立て、再発防止策(パッチ適用、設定見直しなど)を策定・展開します。

このように、SOCが検知したインシデントのバトンをCSIRTが受け取り、組織全体を巻き込んで収束へと導きます。支援士試験では、この一連の流れにおける判断の妥当性が問われるのです。

インシデント対応の全手順【支援士試験】午後問題で問われる4ステップを具体例で攻略

インシデントは、発見してからが本当の戦いです。場当たり的な対応は被害を拡大させるだけでなく、重要な証拠を破壊してしまう危険性もあります。そのため、情報処理安全確保支援士試験では、体系化されたインシデント対応のプロセス(インシデントハンドリング)を理解しているかが厳しく問われます。

ここでは、対応の国際的な指針であるNIST(米国国立標準技術研究所)のガイドラインなどを基にした、一般的な4つのステップを、「料理中のボヤ騒ぎ」という身近な例えと共に解説していきます。

【図解案】インシデント対応のライフサイクル
(ここに「準備」→「検知・分析」→「封じ込め・根絶・復旧」→「事後対応」が円を描き、事後対応から準備へ矢印が戻るPDCAサイクルのような図を挿入するイメージです)

ステップ1:検知・分析 (Detection & Analysis)

これは、インシデントの発生を検知し、それが「本当に対応が必要な事態なのか」「どのような影響がありそうか」を特定するフェーズです。

  • やるべきこと:
    • SOCなどからのエスカレーションを受ける。
    • ログを分析し、攻撃の兆候や影響範囲(どのサーバー、どのアカウントが関わっているか)を調査する。
    • インシデントの優先度(緊急度、影響度)を判断する。
  • 身近な例え(ボヤ騒ぎ):
    キッチンから焦げ臭い匂い(検知)。匂いの元を探すと、天ぷら鍋から煙が上がっていることを確認。火の強さや周りに燃え移りそうなものが無いかを確認する(分析)。
  • 実務シナリオ(マルウェア感染):
    SOCから「WebサーバーAから不審な通信を検知」という報告を受ける。CSIRTは直ちにサーバーAのアクセスログや通信パケットを分析し、特定のマルウェア(例:Emotet)に感染している可能性が高いと判断。さらに、同じネットワーク内の他のPCにも感染が広がっていないか調査を開始します。

ステップ2:封じ込め・根絶・復旧 (Containment, Eradication & Recovery)

被害の拡大を防ぎ(封じ込め)、原因を完全に取り除き(根絶)、システムを正常な状態に戻す(復旧)、最も重要なフェーズです。特に初動対応である「封じ込め」は、その後の被害を大きく左右します。

対応 やるべきこと やってはいけないこと(注意点)
封じ込め ・感染端末のネットワーク隔離
・不正アクセされたアカウントの停止		 ・証拠保全前のシャットダウン(メモリ情報が消える)
・影響範囲を考えずにネットワーク全体を止める
根絶 ・マルウェアの駆除
・侵入に使われた脆弱性の修正		 ・マルウェア本体だけを削除し、原因(脆弱性)を放置する
復旧 ・クリーンなバックアップからのリストア
・システムの正常稼働テスト		 ・マルウェアに感染した可能性のあるバックアップから復旧する
  • 身近な例え(ボヤ騒ぎ):
    まずコンロの火を止め、濡れタオルを鍋にかぶせて火を消し、延焼を防ぎます(封じ込め)。火が消えたのを確認し、油を安全に処理します(根絶)。最後に窓を開けて換気し、汚れたコンロ周りを掃除して、また料理ができる状態に戻します(復旧)。
  • 実務シナリオ(マルウェア感染):
    CSIRTは、まずWebサーバーAをネットワークから隔離し、被害の拡大を阻止します(封じ込め)。次に、マルウェアを特定・駆除し、侵入経路となったOSの脆弱性にパッチを適用します(根絶)。最後に、クリーンであることが確認されているバックアップデータを用いてシステムを復元し、サービスを再開します(復旧)。

ステップ3:事後対応 (Post-Incident Activity)

インシデント対応が完了したら、それで終わりではありません。得られた教訓を次に活かすための活動が不可欠です。これを「Lessons Learned(教訓化)」と呼びます。

  • やるべきこと:
    • インシデント報告書の作成(発生原因、対応履歴、被害状況、再発防止策などを時系列で記録)。
    • 経営層や関係者への報告。
    • 対応プロセスの見直し、改善。
    • 再発防止策の恒久的な展開。
  • 身近な例え(ボヤ騒ぎ):
    なぜボヤ騒ぎになったのか家族で話し合います。「火をつけたまま少し目を離した」ことが原因だと判明。「調理中は絶対にキッチンを離れない」という新しいルールを作り、コンロの横に注意書きを貼ります(教訓化と再発防止)。実務シナリオ(マルウェア感染):
    CSIRTは一連の対応を報告書にまとめ、経営会議で報告。今回の原因が「OSのパッチ適用漏れ」であったことから、全社的な脆弱性管理プロセスの見直しを提言します。そして、承認された改善策を組織全体に展開していくのです。この活動が、次のインシデントへの「準備」に繋がり、組織全体のセキュリティレベルを向上させます。

    証拠保全の鉄則【支援士試験】フォレンジックの成否を分ける三原則と手順

    インシデント対応において、CSIRTは技術者であると同時に、ある種の「科学捜査官」としての役割も求められます。なぜなら、不適切な手順で集められた情報は、たとえそれが犯人を特定する決定的データであっても「証拠」として認められないからです。特に、将来的に犯人への損害賠償請求や訴訟を視野に入れる場合、その手続きの正当性が極めて重要になります。

    このセクションでは、後のフォレンジック調査の成否を分ける「証拠保全」の鉄則を、「交通事故の現場検証」に例えながら解説します。

    なぜ証拠保全は慎重に行う必要があるのか?

    インシデント対応の目的は、単にシステムを復旧させるだけではありません。「何が起きたのか」を正確に把握し、「誰が、どのように攻撃したのか」を特定し、「どうすれば再発を防げるか」を導き出すことが重要です。その全ての土台となるのが、信頼できる「証拠」です。

    【身近な例え:交通事故の現場検証】
    交通事故が起きたとき、警察はすぐに現場を立ち入り禁止にします。これは、タイヤ痕やブレーキ痕、車両の破片といった証拠が、通行人や無関係な車によって破壊(汚染)されるのを防ぐためです。インシデント発生時のサーバーやPCも、この事故現場と同じ。むやみに電源を落としたり、ファイルを開いたりする行為は、貴重な証拠を破壊する行為に他ならないのです。

    証拠能力を担保する「三原則」と「CoC」

    法的な場でも通用する証拠(電子的証拠)であるためには、以下の三原則と、それを保証するための手続きが求められます。

    【表】証拠保全の三原則

    原則 意味 具体的なアクション例
    完全性 (Integrity) 証拠が収集時から一切改ざんされていないこと。 ・原本から作成したコピー(イメージ)のハッシュ値が、原本のハッシュ値と一致することを確認する。
    ・書き込み禁止装置(Write Blocker)を使用する。
    連続性 (Continuity) 証拠が誰の手にも渡らず、一貫して管理されていたこと。 ・「チェーン・オブ・カストディ(Chain of Custody)」を作成し、証拠の受け渡しや保管の履歴をすべて記録する。
    信頼性 (Authenticity) 証拠収集の方法や手順が、信頼できる正当なものであること。 ・確立された標準的な手順やツールを使用する。
    ・作業日時、担当者、作業内容を詳細に記録する。

    特に重要なのが「チェーン・オブ・カストディ(Chain of Custody:CoC)」、日本語では「証拠の連鎖」と呼ばれる管理記録です。これは、証拠物を「いつ、誰が、どこで、何をしたか」を時系列で記録した書類で、証拠の信頼性を証明する上で不可欠となります。

    手順が命!揮発性の高い情報から保全せよ

    証拠となるデータには、電気を失うと消えてしまうもの(揮発性データ)と、消えないもの(不揮発性データ)があります。証拠保全は、消えやすいものから順番に行うのが鉄則です。

    【図解案】データの揮発性の順序(Order of Volatility)
    (ここに、上に行くほど揮発性が高いピラミッド型の図を挿入するイメージ)
    1. (高) レジスタ、キャッシュ
    2. (↑) メモリ(RAM)
    3. (↑) ネットワーク情報(通信状態など)
    4. (↓) ディスク上のデータ(HDD/SSD)
    5. (低) バックアップテープ、DVDなど

    この原則に基づき、マルウェアに感染したサーバーの証拠保全は以下の手順で行うのが一般的です。

    1. 物理メモリの保全(メモリダンプ): 実行中のプロセスやネットワーク接続情報、暗号化キーなど、電源を落とすと消えてしまう最重要情報が記録されたメモリの情報を、そのままファイルとして出力(ダンプ)します。
    2. ハードディスクの保全(ディスクイメージング): 書き込み禁止装置を介して、ハードディスクの内容をセクタ単位で丸ごとコピー(イメージ化)します。これにより、削除されたファイルの痕跡なども含めて、ディスクの全状態を複製できます。決して、OSを起動した状態でファイルをコピーしてはいけません。(ファイルの最終アクセス日時などが更新され、証拠が汚染されるため)
    3. ハッシュ値の計算と比較: 原本のディスクと、作成したディスクイメージのハッシュ値をそれぞれ計算し、両者が完全に一致することを確認・記録します。これにより、「完全性」が証明されます。

    支援士試験の午後問題では、「インシデント対応者が最初に行うべき作業は何か」といった形で、この揮発性を考慮した手順の適切性が問われます。慌てて電源ボタンを押すのではなく、まずメモリダンプ、という流れを確実に押えておきましょう。

    デジタルフォレンジックとは?【支援士試験】攻撃の痕跡を暴く科学捜査の手法

    証拠保全によって確保されたデータは、いわば「デジタルな事件現場」そのものです。しかし、ただそこにあるだけでは、何が起きたのかを物語ってはくれません。この膨大な情報の海から攻撃者の足跡をたどり、被害の全貌を明らかにする科学的な調査技術、それが「デジタルフォレンジック」です。

    インシデント対応におけるフォレンジック調査は、まさに「デジタル世界の科学捜査 (CSI)」と言えるでしょう。このセクションでは、支援士試験で問われる主要なフォレンジック手法を解説します。

    フォレンジック調査の3つのステップ

    フォレンジック調査は、一般的に以下の3ステップで進められます。

    1. 収集 (Collection): 前のセクションで解説した「証拠保全」のプロセスです。信頼できる証拠を、適切な手順で集めます。
    2. 分析 (Analysis): 収集したデータを専門的なツール(例: EnCase, FTK Imager)を用いて分析し、インシデントに関連する情報を探します。分析は必ず保全したコピー(イメージ)に対して行い、原本には決して触れません。
    3. 報告 (Reporting): 分析によって明らかになった事実を、客観的かつ法的に有効な形式の報告書にまとめます。この報告書が、経営層の意思決定や法的手続きの際の根拠となります。

    攻撃者の足跡をたどる!主な分析手法

    デジタルフォレンジックでは、様々な角度からデータを分析し、消されたはずの痕跡を探し出します。

    【身近な例え:空き巣犯の捜査】
    空き巣に入られた家を調査する捜査官をイメージしてください。

    • タイムライン分析: 部屋の監視カメラ映像や、近所の防犯カメラ映像を時系列に並べ、「犯人は何時に、どこから侵入し、どこを通って、何を盗んで、どこから逃げたか」という一連の行動を再現します。
    • ファイルカービング: 犯人がシュレッダーにかけた書類の紙片を根気よくつなぎ合わせ、元の文書を復元しようと試みます。

    【表】主なデジタルフォレンジック分析手法

    分析手法 概要と目的 調査で分かることの例
    タイムライン分析 ファイルの作成・更新日時 (MAC time) や各種ログを時系列に整理し、攻撃者の行動を再現する。 ・不正なプログラムがいつ実行されたか
    ・攻撃者がどのファイルに、どの順番でアクセスしたか
    ファイルカービング ファイルシステムの管理情報(どこに何があるかという台帳)が破損・削除されても、ディスク上のデータ断片から特定のファイル(画像、文書など)を復元する。 ・攻撃者が証拠隠滅のために削除したファイル
    ・フォーマットされたディスクに残っていた機密情報
    ネットワーク
    フォレンジック    		 パケットキャプチャやFirewallのログを分析し、ネットワーク上の通信から攻撃の証拠を見つけ出す。 ・マルウェアが外部のC&Cサーバーと通信した宛先
    ・不正アクセスに使われたIPアドレス
    ・漏洩したデータの特定
    メモリ
    フォレンジック    		 メモリダンプを分析し、PCが動作していたまさにその瞬間の情報を調査する。暗号化されたディスクの調査にも有効。 ・実行されていた不正なプロセス
    ・暗号化通信で使われた暗号鍵
    ・チャットやパスワードなどの揮発性情報

    実務シナリオ:マルウェア感染サーバーのフォレンジック

    1. タイムライン分析の実施:
      CSIRTの担当者は、まずディスクイメージ全体のタイムライン分析を行います。すると、深夜2時頃に、Webアプリケーションの脆弱性を突かれて不正なプログラム(Webシェル)が設置され、その数分後に外部の特定のIPアドレスからそのプログラムへアクセスがあったことが判明しました。
    2. 根本原因の特定:
      このWebシェルが、マルウェアをダウンロードし、実行する指令塔になっていたことが分かりました。侵入の原因は、長らくパッチが適用されていなかったWebアプリケーションの脆弱性だったのです。
    3. 被害範囲の確定:
      さらにネットワークフォレンジックで通信ログを解析した結果、マルウェアは内部のファイルサーバーBへアクセスを試み、一部の設計ファイルを外部のサーバーへ送信していたことが発覚しました。

    このように、フォレンジック調査によって「いつ、どこから、何を使って侵入され、何をされたか」というインシデントの全体像が初めて明らかになるのです。この客観的な事実こそが、確実な再発防止策と、時には法的な対抗措置を可能にする基盤となります。

まとめ:有事の最前線で戦うための知識を「線」で理解する

本記事では、情報処理安全確保支援士試験の合格、そして実務の現場で不可欠となるインシident対応の核心部分を、一連の流れとして解説してきました。

  • CSIRTとSOC: インシデント対応の「司令塔」と「監視塔」であり、その役割分担とスムーズな連携が組織の防御力を左右します。SOCが発したアラートを、CSIRTがどう受け止め、どう動くのか。この流れを常に意識することが重要です。
  • インシデント対応の4ステップ: 「検知・分析」から「事後対応」までの一連のプロセスは、有事の際にパニックに陥らず、冷静かつ合理的な判断を下すための道しるべです。特に、被害拡大を防ぐ「封じ込め」の初動対応は、支援士としての判断力が最も問われる場面です。
  • 証拠保全とフォレンジック: 対応の正当性を担保し、攻撃の全貌を明らかにするための科学的なアプローチです。揮発性の高い情報から保全するという鉄則や、証拠の完全性を証明するハッシュ値の重要性は、技術的な知識だけでなく、法的な観点からも必須の知識と言えます。

ご提示いただいた一問一答の知識は、それぞれが独立した「点」でした。しかし、本記事で解説したように、これらは全て「インシデント発生」という一本の線で繋がっています。支援士試験の午後問題では、まさにこの「点」の知識をいかに「線」として繋ぎ合わせ、具体的なシナリオの中で最適な判断を下せるかが問われます。

一つ一つの用語を暗記するだけでなく、自分がインシデント対応の担当者だったらどう動くかを常にシミュレーションしながら学習を進めることで、単なる試験対策に留まらない、真に価値のあるスキルが身につくはずです。

-IPA|情報処理技術者試験