情報処理安全確保支援士試験 令和7年秋期午前Ⅱ 自社製品の脆弱性に起因するリスク対応
出典:令和7年秋期 午前Ⅱ 問13
分野:セキュリティ / 情報セキュリティ管理
ある企業で,社内機能としてCSIRT,PSIRT,SOC,WHOISデータベースの技術連絡担当組織があるとき,自社製品の脆弱性に起因するリスクに対応するべき社内機能はどれか。
- ア:CSIRT
- イ:PSIRT
- ウ:SOC
- エ:WHOISデータベースの技術連絡担当組織
TSUNAGARU-ADVICE
まず押さえたいこと
この問題では、インシデント対応を行う組織を広く問うのではなく、自社製品の脆弱性に起因するリスクに対応する役割はどこかを切り分けることがポイントです。
迷ったときの判断軸
PSIRTは、製品やサービスの脆弱性情報を受け付け、評価し、開発部門などと連携して対処する組織です。一方でCSIRTは社内全体のインシデント対応、SOCは監視と分析が中心です。したがって、自社製品の脆弱性対応ならPSIRTと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、同じセキュリティ組織でも、社内システムの事故対応なのか、製品の脆弱性対応なのか、監視運用なのかで役割を切り分ける力が問われます。組織名だけで覚えるのではなく、何を守るための機能なのかまで結び付けて理解しておくことが重要です。
自社製品の脆弱性に起因するリスクへの対応は、脆弱性情報の受付・影響範囲の評価・修正方針の決定・パッチ提供・脆弱性情報の公開調整などが中心になります。
これらは製品のセキュリティインシデント対応を担う PSIRT(Product Security Incident Response Team) の役割です。
❌他選択肢が誤りの理由ア:CSIRT
⇒組織内で発生した情報セキュリティインシデントへの対応を担う組織です。自社製品の脆弱性対応を主に担うのはPSIRTです。
ウ:SOC
⇒ログ監視や脅威検知、アラート分析などのセキュリティ監視を担う組織です。製品脆弱性対応の主担当ではありません。
エ:WHOISデータベースの技術連絡担当組織
⇒ドメイン名やIPアドレスなどの登録情報に関する技術連絡先です。自社製品の脆弱性対応を担う組織ではありません。