この記事でわかること
- セキュリティインシデント対応計画の必要性と構成要素
- CSIRT(インシデント対応チーム)の構築方法
- 検知→初動→封じ込め→復旧→事後対応のフロー
- 個人情報保護委員会への報告義務と手順
- インシデント対応訓練の進め方
なぜインシデント対応計画が必要か
セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。サイバー攻撃の巧妙化により、どれだけ対策をしても100%の防御は不可能です。
インシデント対応計画がないと、攻撃を受けた際に何が起きるか。
- パニック — 誰が何をすべきか分からず、対応が遅れる
- 被害の拡大 — 封じ込めが遅れ、影響範囲が広がる
- 情報の錯綜 — 社内外への情報発信が統一されず、混乱を招く
- 法的リスク — 報告義務を知らず、個人情報保護委員会への報告が遅れる
事前に計画を策定し、訓練しておくことで、被害を最小限に抑え、迅速に復旧できます。
CSIRT(インシデント対応チーム)の構築
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応する専門チームです。大企業では専任チームを設置しますが、中小企業では兼任で構いません。
中小企業向けCSIRT体制の例
| 役割 | 担当者 | 責任範囲 |
|---|---|---|
| インシデント統括 | 経営者 or 役員 | 最終意思決定、対外発表、予算承認 |
| 技術対応リーダー | 情報システム担当 | 技術的な調査・封じ込め・復旧 |
| 広報・渉外 | 総務 or 広報担当 | 顧客・取引先・メディアへの連絡 |
| 法務 | 顧問弁護士(外部) | 報告義務の判断、法的対応 |
| 外部ベンダー | セキュリティ企業(契約) | フォレンジック調査、復旧支援 |
重要なのは、平時から連絡先と役割分担を明確にしておくことです。インシデント発生時に「誰に連絡すればいいか分からない」という状態を防ぎます。
インシデント対応フロー
フェーズ1:検知(Detection)
インシデントを発見する段階です。検知が遅れるほど被害は拡大します。
- 自動検知 — EDR、IDS/IPS、WAF、SIEMのアラート
- 人的検知 — 社員からの報告(「変なメールを開いてしまった」等)
- 外部通報 — 取引先やセキュリティ機関(JPCERT/CC等)からの連絡
社員が「気づいたらすぐ報告する」文化を作ることが重要です。「怒られるから黙っていよう」は最悪のシナリオです。報告した社員を責めない方針を明確にしましょう。
フェーズ2:初動対応(Triage)
インシデントの影響範囲と深刻度を素早く判断します。
- 事実確認 — 何が起きたか、いつ起きたか、どのシステムが影響を受けたか
- 深刻度の判定 — 下記の分類基準で判定
- CSIRT召集 — 深刻度に応じて関係者を招集
| 深刻度 | 定義 | 対応 |
|---|---|---|
| 緊急 | 個人情報漏洩、ランサムウェア感染、サービス全停止 | 即時対応。全CSIRT召集 |
| 重大 | 一部システムの不正アクセス、マルウェア検知 | 1時間以内に対応開始 |
| 警戒 | フィッシングメール受信、不審なログイン試行 | 当日中に調査・対応 |
| 注意 | 脆弱性情報の入手、不審な通信の検知 | 翌営業日までに確認 |
フェーズ3:封じ込め(Containment)
被害の拡大を止めます。
- ネットワーク遮断 — 感染端末をネットワークから切り離す
- アカウント無効化 — 不正アクセスされたアカウントを即時無効化
- 証拠保全 — ログ、メモリダンプ、ディスクイメージを保全(フォレンジック用)
- 暫定対策 — 影響を受けたサービスの一時停止、代替手段の提供
フェーズ4:根絶・復旧(Eradication & Recovery)
- 原因の特定 — どのように侵入されたか、何が漏洩したかを調査
- マルウェアの除去 — 感染端末のクリーンインストール or マルウェア除去
- 脆弱性の修正 — 侵入経路となった脆弱性のパッチ適用
- システム復旧 — バックアップからの復元、サービスの再開
- パスワードリセット — 影響を受けたアカウントのパスワード強制変更
フェーズ5:事後対応(Post-Incident)
- 報告書の作成 — 発生経緯、被害範囲、対応内容、再発防止策をまとめる
- 再発防止策の実施 — 技術的対策+運用面の改善
- 振り返りミーティング — 対応のタイムラインを振り返り、改善点を特定
インシデント対応の鉄則
「インシデント対応で最も重要なのは『証拠を消さない』ことです。パニックになって感染端末を再起動したり、ログを消してしまうと、原因究明ができなくなります。感染端末は電源を入れたままネットワークだけ切り離し、フォレンジック調査の専門家に引き渡すのが鉄則です。」
報告義務と手順
個人情報保護法に基づく報告義務
2022年の改正で、以下の場合に個人情報保護委員会への報告と本人への通知が義務化されました。
- 要配慮個人情報(病歴、犯罪歴等)の漏洩
- 不正アクセスによる漏洩
- 財産的被害が生じるおそれのある漏洩
- 1,000人を超える漏洩
報告のタイムライン
- 速報 — 事態を知った日から3〜5日以内に個人情報保護委員会に報告
- 確報 — 事態を知った日から30日以内(不正アクセスの場合は60日以内)に詳細報告
- 本人通知 — 速やかに通知(報告と並行して実施)
インシデント対応訓練
計画を策定しても、訓練しなければ実際のインシデント時に機能しません。
訓練の種類
- 机上訓練(Tabletop Exercise) — シナリオを読み上げ、各自の対応を議論。半日で実施可能。年2回推奨
- フィッシング訓練 — 擬似フィッシングメールを送信し、クリック率を計測。四半期ごとに実施
- 技術訓練 — 実際にテスト環境でインシデント対応を実施。年1回推奨
まとめ
- インシデントは「いつ起きるか」の問題。事前の計画策定が被害を最小化する
- 中小企業でもCSIRT体制は必要。兼任でもいいので役割と連絡先を明確に
- 対応フローは検知→初動→封じ込め→復旧→事後の5段階
- 証拠を消さない。感染端末は電源入れたままネットワーク切断
- 個人情報漏洩は報告義務あり。速報3〜5日以内、確報30日以内
- 年2回の訓練で計画の実効性を確保
インシデント対応計画の策定やセキュリティ体制構築は、お問い合わせからご相談ください。FUNBREWでは、中小企業のセキュリティ体制づくりをサポートしています。
よくある質問
セキュリティインシデント対応計画(IRP)とは何ですか?
セキュリティインシデント対応計画(Incident Response Plan、IRP)とは、サイバー攻撃や情報漏洩などのセキュリティ事故が発生したときに「誰が・何を・どの順番で対応するか」を事前に定めた文書です。インシデントが実際に起きてから対応を考えると混乱が生じ、被害が拡大しがちです。IRPを整備しておくことで、迅速な初動対応・被害の最小化・関係者への適切な報告が可能になります。中小企業でも「簡易版IRP」として2〜3ページの対応フロー図と連絡先リストを用意するだけで、いざというときの初動が大きく変わります。
CSIRTとは何ですか?中小企業でも作る必要がありますか?
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントの検知・対応・再発防止を担う専門チームです。大企業では専任チームを設置するケースが多いですが、中小企業の場合は「情報システム担当者+経営幹部+外部の専門会社」で構成する「仮想CSIRT」が現実的です。重要なのはチームの設置よりも「インシデント発生時に誰に連絡するか・誰が判断するか」の役割分担を明確にしておくことです。IT保守を委託している会社と「緊急連絡体制」を事前に取り決めておくだけでも大きな効果があります。
セキュリティインシデントが発生したら最初に何をすればいいですか?
初動対応の基本ステップは「検知→封じ込め→記録→報告」です。①まず被害拡大を防ぐため、感染が疑われる端末をネットワークから切り離します(電源は落とさない)。②次にログやスクリーンショットを保存して証拠を保全します。③経営幹部・IT担当・外部専門家(保守ベンダーやセキュリティ会社)に連絡します。④個人情報が漏洩した可能性がある場合は個人情報保護委員会への報告義務(原則72時間以内の速報)も発生します。焦って全てのデータを削除したり、機器を再起動したりすると証拠が消えるため注意が必要です。
セキュリティインシデントの報告義務はありますか?
個人情報が漏洩した(もしくはその可能性がある)場合、改正個人情報保護法(2022年4月施行)により個人情報保護委員会への報告が義務付けられています。速報は「知ってから3〜5日以内」、詳細報告は「知ってから30日以内(不正アクセスは60日以内)」が目安です。また、上場企業・重要インフラ事業者については、金融庁や経済産業省など所管省庁への報告義務も別途課される場合があります。報告漏れはペナルティの対象になりうるため、自社に適用される義務を事前に確認しておくことが重要です。
インシデント対応訓練(ドリル)はなぜ必要ですか?どう実施しますか?
インシデント対応計画は、実際に訓練しておかないと「有事に機能しない文書」になりがちです。訓練の代表的な手法は3つです。①テーブルトップ演習:会議室でシナリオを読み上げ「この場合どう判断するか」を議論する(コストが低く始めやすい)。②ウォークスルー演習:担当者が実際の手順に沿って動作確認をする。③実機演習(フルスケール演習):本番に近い環境でシステム切り離し・復旧作業を実際に行う。中小企業には、年1回テーブルトップ演習を行い、連絡先リストの確認と担当者の変更を反映させることから始めるのが現実的です。
ランサムウェア被害を受けた場合の対応フローは?
ランサムウェア(身代金要求型マルウェア)の被害を受けた場合の基本フローは次のとおりです。①感染端末・サーバーをネットワークから即時切り離す(被害拡大防止)。②電源を落とさずログを保全する。③バックアップデータの生存確認をする(ランサムウェアがバックアップを暗号化していないか確認)。④警察・IPAの「情報セキュリティ安心相談窓口」(IPA)に相談する。⑤セキュリティ専門会社にフォレンジック(原因調査)を依頼する。身代金の支払いはデータ復元を保証するものではなく、再被害のリスクもあるため、専門家の判断を仰ぎながら慎重に対応してください。
インシデント後の再発防止策はどのように立てればいいですか?
再発防止策は「なぜ起きたのか」の根本原因分析(ポストモーテム)から始めます。よくある根本原因は、①脆弱性のある古いソフトウェアの放置、②フィッシングメールを見破れなかった(教育不足)、③アクセス権限の過剰付与、④多要素認証の未導入です。根本原因を特定したら、技術的対策(パッチ適用・多要素認証導入)と管理的対策(訓練・ルール更新)を組み合わせた再発防止策を策定します。対策の実施状況は定期的にレビューし、情報セキュリティポリシーに反映させることで、組織全体のセキュリティ水準が底上げされます。
セキュリティインシデント対応の外部支援サービスはありますか?
はい、複数の支援サービスがあります。①IPA「情報セキュリティ安心相談窓口」(無料):電話・メールで相談可能。②JPCERT/CC:インシデント報告受付と技術的支援。③セキュリティベンダーのインシデントレスポンスサービス:フォレンジック調査・マルウェア除去・システム復旧を有償で支援(数十〜数百万円)。④サイバー保険:インシデント発生時の費用(調査費・損害賠償・通知費用など)をカバーする保険商品。中小企業はインシデント発生後に専門家を探す余裕がなくなりがちなので、「保守ベンダーが対応できる範囲」と「外部専門家に依頼する判断基準」を事前に決めておくことをおすすめします。
この記事をシェア