マネジメント・システム監査応用問題
情報セキュリティ監査において、セキュリティインシデント対応計画は経営承認を得て策定されていますが、過去2年間、対応手順の机上演習やシミュレーション訓練が実施されていません。この状況で実際のランサムウェア攻撃が発生した場合、どのような問題が最も顕在化しやすいか。
A.対応計画が存在するため、直ちに対応手順を実行すれば問題は生じない
✗ 対応計画の存在だけでは不十分です。実装と有効性の確認(演習・訓練)がなければ、実際の発動時に手順が機能しない可能性が高くなります。
B.対応計画の内容が妥当でも、演習未実施により実際の発動タイミング・役割分担・通報体制が機能せず、対応が大幅に遅延する可能性がある← 正解
✓ 正解です。演習がないと、人員配置の不備、連絡経路の不明確さ、初動判断の遅れなど、実装段階での課題が実行時に露呈し、対応の遅延と被害拡大につながります。
C.対応計画が2年以上更新されていないため、計画自体が無効になり、対応ができない
✗ 対応計画の更新推奨は実務的には重要ですが、計画存在下での演習未実施が主な問題です。計画の内容次第では一定期間有効性を保ちます。
D.机上演習がないだけで、インシデント対応担当者の適切な人選があれば、演習の有無は対応速度に影響しない
✗ 人選の適切さはもちろん重要ですが、演習を通じた役割確認・手順習熟・問題発見は対応速度に直結します。演習有無は確実に影響します。