ITパスポート 令和8年度 問70：securityに関する問題

答えは d です。

情報セキュリティで何か事故っぽいこと（事象）が起きたとき、誰に・どうやって連絡するかを“前もって”決めておけば、いざというとき素早く正しい人へ報告できます。これが正しい備えです。

火事のときの「119番に電話」「避難経路はこっち」をあらかじめ決めておくのと同じイメージです。

👉 覚え方：事故対応は“前もって連絡ルートを用意”しておく。

ほかの選択肢：a 手順を文書化しないで記録だけ＝逆（手順は前もって決めるべき）／b 教訓を改善に使わない＝もったいない、ふつうは活かす／c 評価せず報告だけで“事故”と決める＝先に評価が必要。

なぜこれが正解か

正解は d。ISMS（情報セキュリティマネジメントシステム）では、情報セキュリティ事象を適切な管理者へ速やかに報告できるよう、連絡経路と報告の仕組みをあらかじめ用意しておくことが求められる。迅速な報告が被害拡大の防止につながる。

各選択肢の解説

• a：対応手順は事前に文書化しておくのが原則。記録だけでよいとするのは誤り。
• b：インシデントから得た知識は再発防止のため管理策の強化に活用すべきで、用いないのは誤り。
• c：報告された「事象」は評価を経てから「インシデント」に分類される。評価を待たず即分類は誤り。
• d：事前に連絡経路と仕組みを用意する（正解）。

覚え方・ひっかけ注意

用語の段階を区別：情報セキュリティ「事象（event）」＝発生した出来事 → 評価 → 該当すれば「インシデント（incident）」。c は事象とインシデントを混同させる引っかけ。ISMSは「事前準備」と「教訓の活用（PDCAで改善）」が基本姿勢。

理論的背景

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）はISO/IEC 27001で定義される情報セキュリティリスク管理の枠組みであり、本問正解dの「情報セキュリティ事象に対する連絡経路と仕組みの事前準備」はISO 27001のAnnex A「インシデント管理（Incident Management）」の要求事項に直接対応している。

ISO 27001のインシデント管理フレームワーク：情報セキュリティ事象（Event）→評価・分類→情報セキュリティインシデント（Incident）への格上げ判定→対応。この評価プロセスが重要で、選択肢cの「報告時点で即インシデント分類」は誤りで、事象の深刻度・影響範囲・確証度を評価してからインシデント認定する判断プロセスが必要である。

NIST Cybersecurity Framework（CSF）のIR（Incident Response）機能と対応させると：事前準備（Prepare）→検知・分析（Detect/Analyze）→封じ込め（Contain）→根絶（Eradicate）→回復（Recover）→教訓（Post-Incident Activity）という6フェーズがISO 27001の要求事項と整合する。選択肢d「連絡経路と仕組みの事前準備」はこのPrepareフェーズに対応する。

実務での使われ方

大企業のCSIRT（Computer Security Incident Response Team）やSOC（Security Operations Center）では、インシデント対応プレイブック（Playbook）を事前に整備することで、実際のインシデント発生時に迅速・一貫した対応ができるよう準備している。プレイブックはSIEM（Security Information and Event Management）ツール（Splunk・IBM QRadar・Microsoft Sentinel）と統合されたSOAR（Security Orchestration Automation and Response）で自動実行される。

個人情報保護法（日本）・GDPR（EU）・CCPA（カリフォルニア）等の各国プライバシー規制では情報漏えいインシデントの監督機関・当事者への通知義務（72時間以内等）が定められており、事前の連絡経路整備（選択肢d）は法的コンプライアンスの必要条件でもある。

試験での位置づけ

ISMSインシデント管理はITパスポートのセキュリティ分野で出題頻度が増加しているトピック。ISO 27001の要求事項（事前準備・記録・改善への活用）と誤り選択肢の対比（事前手順書不要・知識共有禁止・評価前即分類）を正確に識別できることが得点の鍵。選択肢aの「手順書不要」・bの「知識共有禁止」はISO 27001の精神と正反対の内容であり確実に排除できる。近年はランサムウェア・BEC・サプライチェーン攻撃等の具体的なインシデント事例と対応手順（封じ込め・証拠保全・通知義務）を組み合わせた問題が増えている。基本情報技術者試験ではISO 27001の認証取得プロセス（ISMS適用範囲決定→リスクアセスメント→リスク対応計画→管理策実施→内部監査→マネジメントレビュー→継続的改善）の全体フローと各フェーズの成果物まで問われる。

選択肢の発展補足

選択肢bの「インシデントから得た知識を管理策強化に使わない」という記述が誤りな理由を発展的に理解する。ISO 27001ではPDCAサイクル（Plan-Do-Check-Act）の継続的改善が根幹原則であり、インシデントは「Act（改善）」のための最も貴重な実証データとして活用される。「知識の再利用禁止」はこの原則と真逆である。MITRE ATT&CK（攻撃者の戦術・技術・手順を体系化したナレッジベース）の活用もインシデントから得た知識を組織の防御力強化に繋げる現代的な実践例。選択肢cの「評価前即インシデント分類」の問題点として、誤検知（False Positive）率の上昇による疲弊（Alert Fatigue：アラート疲れ）がある。SOCではSIEMが大量のアラートを生成するため、AI/MLによるアラートトリアージ（優先度付け・誤検知排除）が現代セキュリティ運用の重要技術となっている。