[https://www.youtube.com/watch?v=TlG6POqY8e8:embed:cite]

本動画では、令和5年度春期 ITサービスマネージャ試験 午後Ⅰ 問2「情報セキュリティの管理」を題材に、中堅保険販売会社J社が直面しているログ管理の課題を是正し、未知マルウェア対策ソフト導入後に発生した誤検知インシデントに対して、運用プロセスとサプライヤ支援の両面から再発防止と迅速な意思決定を実現するまでの考え方を、問題文・解答例・採点講評の意図に沿って解説します。午後Ⅰで問われているのは、セキュリティ技術を網羅的に列挙する力ではなく、証跡としてのログの信頼性と可用性をどのように担保するか、そして未知マルウェアという不確実性の高い領域に対して、誤検知のリスクを織り込んだ運用設計とベンダー活用をどう組み立てるかという実務能力です。採点講評でも、脅威やリスクの観点から根拠を示して答えることが求められており、設問は個別に見えても「証跡を守る」「判断を遅らせない」「例外処理をルール化する」という一本の軸で繋がっています。 出題趣旨の中心は、情報セキュリティ管理を“導入した対策の有無”で評価するのではなく、インシデント対応の品質を左右する基盤として、ログの整備と運用プロセスを設計できるかにあります。特に保険販売会社という業態では、顧客情報や取引情報の取り扱いが前提にあり、調査の根拠となるログが不正確であったり消失したりすると、原因究明ができないだけでなく、説明責任や再発防止の実効性が損なわれます。また、未知マルウェア対策は検知精度だけでなく、過検知による業務停止や判断の遅延という副作用を伴うため、ツールの機能とサポート条件を自社の運用ルールに整合させることが不可欠になります。本問は、この二つの領域を同時に扱い、ITサービスマネージャとして「運用できるセキュリティ」に落とし込めるかを問うています。 設問1はログ管理方法の見直しで、まず(1)の空欄aはNTP導入の目的を問うことで、ログの突合における最も基本的な前提を確認しています。複数機器のシステム時刻が正確でないと、ログを突き合わせても時間軸での事象の流れを正確に追えず、インシデントの発生起点や侵入経路、影響範囲の特定が困難になります。したがって、時刻同期の目的は「時間軸での発生事象の流れを正確に把握すること」であり、午後Ⅰでは与件に書かれている課題表現を過不足なく言い換えることが得点の近道です。この設問が示す読解ポイントは、対策（NTP）を一般論で説明するのではなく、与件の困りごとが何で、導入で何が可能になるかを因果で結ぶことにあります。 (2)のログ管理システムのサーバ設置場所と理由は、セキュリティ管理としての“証跡保全”の発想があるかどうかを試しています。ログはインシデント調査の証拠である以上、攻撃者が侵入した際に削除・改ざんできる場所に置けば、真っ先に狙われる可能性があります。したがって、外部からの直接攻撃を受けにくく、アクセス経路が限定される内部セグメントに配置して改ざんリスクを低減する、という理由付けが必要になります。設置場所の選択は構成図のLAN区分の読み取りに依存しますが、採点講評が求めるのは「どのLANか」を当てること以上に、なぜそこが安全側なのかを脅威・リスクの言葉で説明することです。午後Ⅰの読解ポイントとしては、DMZに近い領域やインターネットに面する領域よりも、アクセス制御が強く外部から到達しにくい領域に証跡を置く、というセキュリティの基本原則を、与件のネットワーク構造に沿って表現することが重要になります。 (3)の空欄bは、ログの可用性確保、つまり災害やサイバー攻撃による消失リスクへの備えを問うことで、ログが「守るべき資産」であることを再度強調しています。オンプレミスのログ管理サーバが被災したり侵害されたりした場合でも復旧できるよう、クラウド事業者のストレージサービスにバックアップを保存するという対策が合理的になります。ここでの読解ポイントは、バックアップ先として“別障害ドメイン”を確保することにあり、同じ場所・同じネットワーク・同じ管理権限の中に閉じたバックアップは、災害や侵害時に同時に失われる可能性があります。本問は、ストレージサービス利用という与件情報を根拠に、オフサイト保管としてのバックアップ設計を答えさせています。 設問2は、未知マルウェア対策ソフト導入後に正規の業務ツールが誤検知された事例を扱い、過検知を前提にした運用設計ができるかを問います。(1)の再び過検知されないための対策では、Lソフトが提供する「検知対象外とする実行ファイルの指定」機能を適切に使えるかがポイントです。一度安全と確認できた業務ツールについては、実行ファイルをLサーバに登録して除外設定とし、クライアントへ自動配付させることで、同じ誤検知を繰り返さない運用が可能になります。ただし、採点講評が強調する落とし穴は、検知対象外登録そのものが危険になり得る点です。安全性の事前確認なしに除外登録を乱発すると、攻撃者がそれを悪用してマルウェアを通す抜け道になりかねません。この問題は、機能の使い方以上に「除外は例外処理であり、統制が必要」というセキュリティ管理の原則を押さえているかを見ています。 (2)の追加手順は、その統制を具体的なプロセスとして書けるかが勝負になります。業務ツールの利用申請を承認する前に、完成したツールをLソフトでテストし、検知された場合にはL社へ検体解析・判定を依頼して安全性を担保する、という手順が必要になります。ここで午後Ⅰの読解ポイントは、「自社で安全と判断したから除外する」ではなく、「ベンダーの解析支援を使って安全性を確定させ、その上で除外登録する」という順序の正しさです。採点講評で誤答として多いとされるのは、まさにこの順序を崩して“先に除外登録”してしまう答案であり、セキュリティ管理の観点では危険な運用を推奨していることになります。本動画では、過検知という事象を、例外処理のワークフロー化として整理し、承認プロセスの中に品質ゲートを置く考え方として解説します。 設問3は、保守契約見直しの理由を問うことで、自社の運用ルールとベンダーのサポート条件の整合性確認という、ITサービスマネージャの本分を突いています。J社の情報セキュリティ管理ルールには、解決に時間が必要なインシデントでも当日中に解決方法を決定するという要求があり、これは判断の遅延が業務影響や被害拡大に直結するというリスク認識に基づくものです。ところが、L社の標準サポートでは受付時刻が18時以降の場合に回答が翌営業日になる可能性があるという条件があり、実際のインシデント発生が18時30分頃であれば、当日中の意思決定を阻害するリスクが現実化します。したがって、夕方以降や休日も含めて確実に解析結果を得られるよう、24時間365日対応などの上位サポートへ契約を見直す必要がある、という結論になります。午後Ⅰの読解ポイントは、単に「サポート時間が短いから」ではなく、「自社のルールで求める当日中の決定と、ベンダー回答が翌営業日になり得る条件が矛盾するから」という整合性の不一致として理由を組み立てることです。採点講評が評価するのは、SLAやサポート条件を“契約書の話”で終わらせず、インシデント対応の意思決定プロセスに直結する統制要件として捉えられるかどうかです。 この問題で合否を分ける論点は三つあります。第一に、ログ管理を単なる保管ではなく、時系列の正確性と改ざん耐性と災害耐性を備えた証跡基盤として設計できるかです。NTPによる時刻同期は突合の前提であり、配置場所の選定は改ざんリスクを下げる統制であり、クラウドストレージへのバックアップは消失リスクを下げる可用性の統制です。第二に、未知マルウェア対策の運用で過検知を例外として処理しつつ、除外登録を安易にしないという統制を手順として書けるかです。テストと解析依頼を挟まずに除外してしまう答案は、便利さを優先してセキュリティを崩すため減点に直結します。第三に、自社の対応ルールとベンダー支援条件の矛盾を見抜き、契約見直しという管理策に落とせるかです。ここは情報セキュリティ管理の問題でありながら、実質はサービスマネジメントとしてのSLA整合の問題で、採点側が最も評価したいポイントの一つです。 最後に、この動画を見る意義をまとめます。令和5年度春期 ITサービスマネージャ 午後Ⅰ 問2は、ログという証跡基盤の整備と、未知マルウェアという不確実な脅威への対応を、運用プロセスと契約条件の整合性という観点で問う、実務直結型の良問です。本動画では、問題文・解答例・採点講評が求める「時系列を正確に追えるログ基盤」「改ざん・消失リスクを下げる配置とバックアップ」「過検知を前提にしたテストと解析依頼のプロセス化」「当日中の意思決定を担保するサポート条件の見直し」を、午後Ⅰの読解ポイントとして再現可能な形で整理します。過去問の解説として理解するだけでなく、次に出会うセキュリティ運用系の午後問題でも、同じ観点で根拠ある答案を組み立てられるようになることが、この動画を視聴する最大の価値です。