この記事でわかること
- セキュリティインシデント対応計画の必要性と構成要素
- CSIRT(インシデント対応チーム)の構築方法
- 検知→初動→封じ込め→復旧→事後対応のフロー
- 個人情報保護委員会への報告義務と手順
- インシデント対応訓練の進め方
なぜインシデント対応計画が必要か
セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。サイバー攻撃の巧妙化により、どれだけ対策をしても100%の防御は不可能です。
インシデント対応計画がないと、攻撃を受けた際に何が起きるか。
- パニック — 誰が何をすべきか分からず、対応が遅れる
- 被害の拡大 — 封じ込めが遅れ、影響範囲が広がる
- 情報の錯綜 — 社内外への情報発信が統一されず、混乱を招く
- 法的リスク — 報告義務を知らず、個人情報保護委員会への報告が遅れる
事前に計画を策定し、訓練しておくことで、被害を最小限に抑え、迅速に復旧できます。
CSIRT(インシデント対応チーム)の構築
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応する専門チームです。大企業では専任チームを設置しますが、中小企業では兼任で構いません。
中小企業向けCSIRT体制の例
| 役割 | 担当者 | 責任範囲 |
|---|---|---|
| インシデント統括 | 経営者 or 役員 | 最終意思決定、対外発表、予算承認 |
| 技術対応リーダー | 情報システム担当 | 技術的な調査・封じ込め・復旧 |
| 広報・渉外 | 総務 or 広報担当 | 顧客・取引先・メディアへの連絡 |
| 法務 | 顧問弁護士(外部) | 報告義務の判断、法的対応 |
| 外部ベンダー | セキュリティ企業(契約) | フォレンジック調査、復旧支援 |
重要なのは、平時から連絡先と役割分担を明確にしておくことです。インシデント発生時に「誰に連絡すればいいか分からない」という状態を防ぎます。
インシデント対応フロー
フェーズ1:検知(Detection)
インシデントを発見する段階です。検知が遅れるほど被害は拡大します。
- 自動検知 — EDR、IDS/IPS、WAF、SIEMのアラート
- 人的検知 — 社員からの報告(「変なメールを開いてしまった」等)
- 外部通報 — 取引先やセキュリティ機関(JPCERT/CC等)からの連絡
社員が「気づいたらすぐ報告する」文化を作ることが重要です。「怒られるから黙っていよう」は最悪のシナリオです。報告した社員を責めない方針を明確にしましょう。
フェーズ2:初動対応(Triage)
インシデントの影響範囲と深刻度を素早く判断します。
- 事実確認 — 何が起きたか、いつ起きたか、どのシステムが影響を受けたか
- 深刻度の判定 — 下記の分類基準で判定
- CSIRT召集 — 深刻度に応じて関係者を招集
| 深刻度 | 定義 | 対応 |
|---|---|---|
| 緊急 | 個人情報漏洩、ランサムウェア感染、サービス全停止 | 即時対応。全CSIRT召集 |
| 重大 | 一部システムの不正アクセス、マルウェア検知 | 1時間以内に対応開始 |
| 警戒 | フィッシングメール受信、不審なログイン試行 | 当日中に調査・対応 |
| 注意 | 脆弱性情報の入手、不審な通信の検知 | 翌営業日までに確認 |
フェーズ3:封じ込め(Containment)
被害の拡大を止めます。
- ネットワーク遮断 — 感染端末をネットワークから切り離す
- アカウント無効化 — 不正アクセスされたアカウントを即時無効化
- 証拠保全 — ログ、メモリダンプ、ディスクイメージを保全(フォレンジック用)
- 暫定対策 — 影響を受けたサービスの一時停止、代替手段の提供
フェーズ4:根絶・復旧(Eradication & Recovery)
- 原因の特定 — どのように侵入されたか、何が漏洩したかを調査
- マルウェアの除去 — 感染端末のクリーンインストール or マルウェア除去
- 脆弱性の修正 — 侵入経路となった脆弱性のパッチ適用
- システム復旧 — バックアップからの復元、サービスの再開
- パスワードリセット — 影響を受けたアカウントのパスワード強制変更
フェーズ5:事後対応(Post-Incident)
- 報告書の作成 — 発生経緯、被害範囲、対応内容、再発防止策をまとめる
- 再発防止策の実施 — 技術的対策+運用面の改善
- 振り返りミーティング — 対応のタイムラインを振り返り、改善点を特定
インシデント対応の鉄則
「インシデント対応で最も重要なのは『証拠を消さない』ことです。パニックになって感染端末を再起動したり、ログを消してしまうと、原因究明ができなくなります。感染端末は電源を入れたままネットワークだけ切り離し、フォレンジック調査の専門家に引き渡すのが鉄則です。」
報告義務と手順
個人情報保護法に基づく報告義務
2022年の改正で、以下の場合に個人情報保護委員会への報告と本人への通知が義務化されました。
- 要配慮個人情報(病歴、犯罪歴等)の漏洩
- 不正アクセスによる漏洩
- 財産的被害が生じるおそれのある漏洩
- 1,000人を超える漏洩
報告のタイムライン
- 速報 — 事態を知った日から3〜5日以内に個人情報保護委員会に報告
- 確報 — 事態を知った日から30日以内(不正アクセスの場合は60日以内)に詳細報告
- 本人通知 — 速やかに通知(報告と並行して実施)
インシデント対応訓練
計画を策定しても、訓練しなければ実際のインシデント時に機能しません。
訓練の種類
- 机上訓練(Tabletop Exercise) — シナリオを読み上げ、各自の対応を議論。半日で実施可能。年2回推奨
- フィッシング訓練 — 擬似フィッシングメールを送信し、クリック率を計測。四半期ごとに実施
- 技術訓練 — 実際にテスト環境でインシデント対応を実施。年1回推奨
あわせて読みたい
- 中小企業のサイバーセキュリティ対策|攻撃事例と実践的な防御策【2026年版】
- ランサムウェア対策ガイド|中小企業の感染予防と被害時の対応手順
- ゼロトラストセキュリティ入門|中小企業が始められる現実的な導入ステップ
- 中小企業のセキュリティ投資ガイド|費用対効果の高い対策と優先順位
- ISMS・Pマーク取得ガイド|中小企業の情報セキュリティ認証の進め方
まとめ
- インシデントは「いつ起きるか」の問題。事前の計画策定が被害を最小化する
- 中小企業でもCSIRT体制は必要。兼任でもいいので役割と連絡先を明確に
- 対応フローは検知→初動→封じ込め→復旧→事後の5段階
- 証拠を消さない。感染端末は電源入れたままネットワーク切断
- 個人情報漏洩は報告義務あり。速報3〜5日以内、確報30日以内
- 年2回の訓練で計画の実効性を確保
インシデント対応計画の策定やセキュリティ体制構築は、お問い合わせからご相談ください。FUNBREWでは、中小企業のセキュリティ体制づくりをサポートしています。
よくある質問
中小企業でもセキュリティ対策は必要ですか?
はい、必要です。サイバー攻撃は企業規模を問わず発生しており、中小企業はセキュリティ対策が手薄なため、むしろ標的になりやすい傾向があります。IPAの調査でも中小企業の被害報告は増加しています。
セキュリティ対策の優先順位は?
まずはパスワード管理の強化、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など基本的な対策から始めましょう。その上で、データのバックアップ体制、従業員への教育と進めていくのが効果的です。
セキュリティ対策にかかる費用の目安は?
基本的な対策(ウイルス対策・ファイアウォール等)は月額数千円〜数万円程度から始められます。ISMS認証取得の場合は初期費用50〜200万円、維持費用が年間30〜100万円程度が目安です。
この記事をシェア