PSIRTの役割|科目A-1 令和7年 秋期午前試験 問40

出典:令和7年秋期 午前 問40 分野:セキュリティ / 情報セキュリティ管理
ある組織ではCSIRTとPSIRTが設置されている。セキュリティインシデントのうち,PSIRTが対応するものはどれか。
  • ア:組織が顧客に販売した製品とその利用において発生したセキュリティインシデント
  • イ:組織が製品の在庫を管理するシステムにおいて発生したセキュリティインシデント
  • ウ:組織が製品の販売を管理するシステムにおいて発生したセキュリティインシデント
  • エ:組織の従業員の個人情報を管理するシステムにおいて発生したセキュリティインシデント
解説

PSIRTは、Product Security Incident Response Teamの略で、自社が開発・販売する製品やサービスの脆弱性、製品利用時に発生するセキュリティインシデントに対応する組織です。

一方、CSIRTは、組織内の情報システムやネットワークで発生するセキュリティインシデントに対応する組織です。

問題では、組織が顧客に販売した製品とその利用において発生したセキュリティインシデントが問われています。これは、社内システムのインシデントではなく、製品セキュリティに関する対応なので、PSIRTの対応対象です。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:組織が製品の在庫を管理するシステムにおいて発生したセキュリティインシデント
⇒在庫管理システムは、組織内部で利用する業務システムです。このような社内システムで発生したセキュリティインシデントは、主にCSIRTの対応対象になります。
ウ:組織が製品の販売を管理するシステムにおいて発生したセキュリティインシデント
⇒販売管理システムも、組織内部の業務システムに該当します。製品そのものの脆弱性や顧客利用時の問題ではないため、PSIRTではなくCSIRTの対応対象です。
エ:組織の従業員の個人情報を管理するシステムにおいて発生したセキュリティインシデント
⇒従業員の個人情報を管理するシステムは、組織内部の情報システムです。このような情報漏えいや不正アクセスなどのインシデントは、主にCSIRTが対応します。
TSUNAGARU-ADVICE

まず押さえたいこと

PSIRTは、組織が提供する製品やサービスに関する脆弱性・セキュリティインシデントに対応する体制です。社内システム全般のインシデント対応を担うCSIRTと比べて、自社製品の利用者に影響する問題に焦点があります。

迷ったときの判断軸

在庫管理・販売管理・従業員の個人情報管理など、組織内部の業務システムで発生したインシデントはCSIRTの対応範囲として考えます。一方、顧客に販売した製品や、その利用中に発生した脆弱性・不具合・攻撃影響はPSIRTの対象と判断します。

科目Bにつなげるために

特に情報処理安全確保支援士試験合格を目指す方は、CSIRTとPSIRTの違いを、組織内のインシデント対応か、製品利用者への影響を含む対応かで整理しておくと有効です。脆弱性情報の受付・影響調査・修正版提供・顧客通知などの実務対応につながります。