CSIRTとして行う活動の例として, 最も適切なものはどれか。

ウセキュリティ事故の発生時に影響範囲を調査して, 被害拡大を防止するための対策実施を支援する。

令和7年度 ITパスポート試験公開問題問68 解説 CSIRTの活動

この問題は、CSIRTという用語が持つ意味を正確に理解していれば即答できる問題です。CSIRTは、コンピュータセキュリティインシデント（事故）に対応するための組織です。選択肢の中で、事故発生時の対応に直接関わっている記述を探せば、自然と正解である「ウ」が導き出されます。

CSIRTは、Computer Security Incident Response Teamの略称で、組織内でセキュリティ事故が発生した際に、その対応（インシデントレスポンス）を専門に行うチームのことです。

セキュリティ事故とは、ウイルス感染、不正アクセス、情報漏えいといった、組織のコンピュータ環境における望ましくない事象を指します。CSIRTの主な役割は、こうした問題が起きた際に「迅速に調査を行い、被害を最小限に抑え、事態を収束させること」です。

ア：パッチの適用は、脆弱性を修正するための予防策です。これはシステムの運用管理者が日常的に行う業務であり、事故が発生した後の対応ではないため不適切です。

イ：事業継続計画（BCP）の策定は、経営層やリスク管理部門が中心となって行う全社的な活動です。CSIRTも関与することはありますが、本質的には自然災害を含む組織全体の存続が目的です。

ウ：これが正解です。事故が発生した際に、その影響範囲を特定し、被害がこれ以上広がらないように食い止め、復旧を支援するのがCSIRTの核心的な業務です。

エ：入退出記録の監査は、物理的なセキュリティ対策をチェックする業務であり、これは情報セキュリティマネジメントシステム（ISMS）の運用プロセスの一部にあたります。

現代の企業活動において、サイバー攻撃を完全に防ぐことは困難です。そのため、ITパスポートの試験においても「防ぐこと」と同じくらい「起きた後にどう対処するか」という考え方が重要視されています。

CSIRTは、現場のエンジニアだけでは判断が難しい「どの情報が漏れたか」「どこまで被害が及んでいるか」といった状況把握を行い、必要に応じて法務部門や広報部門と連携をとりながら、対外的な説明や被害の封じ込めを指揮します。

IT部門で働く際、もし自分の組織で重大なセキュリティトラブルが発生したら、真っ先に駆けつけて指揮を執るのがCSIRTです。この知識は、単なる試験対策だけでなく、実際の現場におけるトラブルシューティングの体制を理解する上での基礎知識となります。