セキュリティ事故が起きた瞬間、あなたは何をすべきか即答できますか。
「ランサムウェアに感染した」「社員のアカウントが乗っ取られた」「お客様の個人情報が漏洩したかもしれない」。そんな連絡が月曜朝一番に飛び込んできたとき、手順書がなければ誰もが「何から手をつければいいのか」で思考停止に陥ります。
問題は、情報セキュリティインシデントは「予告なく」「最悪のタイミングで」やってくることです。大企業にはCSIRT(サイバーセキュリティインシデント対応チーム)がありますが、情シスが1人の中小企業に同じ体制を作ることは現実的ではありません。
この記事では、中小企業・情シス1人体制でも今日から使えるインシデント対応手順書の作り方を、テンプレート付きで解説します。難しく考える必要はありません。「誰が」「何を」「どの順番で」やるかを事前に決めておくだけで、いざというときの被害を大幅に抑えられます。
インシデント対応手順書とは?なぜ中小企業にも必要なのか
インシデント対応手順書(IR Playbook)とは、セキュリティ事故が発生した際に、初動対応から復旧・再発防止まで「誰が・何を・どの順番で行うか」を事前に定めたドキュメントです。
「うちは大した情報を持っていないから狙われない」と思っていませんか。実際には中小企業こそ攻撃者に好まれます。理由は単純で、セキュリティ投資が少なく、侵入しやすいからです。大企業への攻撃に失敗した攻撃者が、足がかりとして取引先の中小企業を踏み台にするケースも少なくありません。
手順書がなければ、インシデント発生時に以下のような問題が起きます。
・対応の遅れ: 何をすべきか迷っている間に被害が広がる
・証拠の消失: ログを削除・上書きして原因調査ができなくなる
・不適切な対応: 感染端末をすぐシャットダウンして、暗号化前のデータが失われる
・連絡漏れ: 報告義務のある個人情報漏洩を見落として法的リスクを抱える
・再発: 根本原因を特定できず同じ攻撃に再び被害を受ける
手順書は「完璧なもの」を目指す必要はありません。最初は1枚の紙でも構いません。大切なのは「存在すること」です。
対応が遅れるとどうなるか — 被害が拡大するメカニズム
ランサムウェアを例に考えます。感染した端末が「暗号化を開始した」その瞬間から、時計が動き始めます。
ランサムウェアは感染端末内で静かに広がります。共有フォルダ、バックアップドライブ、社内ネットワーク上の別の端末へと横展開(ラテラルムーブメント)します。発見が1時間遅れれば、被害端末は1台から5台、10台へと増えることがあります。
個人情報漏洩の場合も同様です。個人情報保護法では、漏洩事実を知ってから「速やかに」個人情報保護委員会へ報告する義務があります(一定規模以上の場合は72時間以内を目安)。対応を後回しにした結果、法的な報告期限を超えてしまうリスクがあります。
「初動の30分」が被害規模を決めると言っても過言ではありません。手順書があれば、その30分を「考える時間」ではなく「動く時間」に使えます。
インシデント対応の基本フロー(5ステップ)
インシデント対応の世界標準として、NIST(米国国立標準技術研究所)が定める「サイバーセキュリティフレームワーク」に基づいた5段階のフローがあります。中小企業向けに噛み砕いて解説します。
1. 検知・報告(Detect & Report)
インシデントは「気づき」から始まります。社員からの報告、ウイルス対策ソフトのアラート、ネットワーク機器の異常ログ、外部からの指摘など、様々な経路で検知されます。
手順書に盛り込むべき内容は次のとおりです。
・報告窓口の一本化: 異常を発見した社員は誰に連絡するか(情シス担当者のメールアドレス・電話番号)
・報告必須の事象リスト: 「どんな状態になったら報告すべきか」の具体例(PCが突然重くなった、知らないファイルが増えた、パスワードが変わっていた、など)
・報告フォーマット: いつ・どの端末・どんな症状・何をしていたか、を5行程度でまとめるテンプレート
2. 初動対応・封じ込め(Contain)
最も重要なステップです。被害を広げないための「止める」作業をします。
ただし、ここで注意が必要です。「感染したからシャットダウン」は必ずしも正解ではありません。シャットダウンによってメモリ上の証拠(マルウェアの動作痕跡)が失われることがあります。一方で、電源を入れたままにしておくと被害が拡大します。
一般的な判断基準は次のとおりです。
・ランサムウェア感染中(ファイルが暗号化されている最中)→ 即座にネットワーク切断(LANケーブルを抜く・Wi-Fiをオフ)して封じ込める
・不審な通信を検知したがシステムは正常動作中 → ネットワーク切断しつつ電源は入れたままにして証拠を保全する
・アカウント乗っ取りの疑い → 該当アカウントのパスワードを即刻変更し、セッションを無効化する
手順書には「この症状ならこう対応する」という判断フローチャートを載せておくと、現場が迷わずに動けます。
3. 影響調査・証拠保全(Investigate & Preserve)
封じ込めが完了したら、被害の全容を把握します。証拠保全はこのステップで行います。証拠は後の原因調査だけでなく、警察への被害届や保険会社への説明でも必要になります。
・ログの収集と保存: Windows イベントログ、ファイアウォールログ、メールサーバーのログを別メディアにコピーする
・被害端末のリストアップ: 感染・漏洩に関わった可能性がある端末をすべて特定する
・タイムラインの再構成: いつ、何が起きたかを時系列で整理する
・外部機関への相談: 必要に応じてIPAの相談窓口や専門業者へ連絡する
証拠保全は「上書きしない」が鉄則です。調査前に感染端末でファイル削除やシステム復元を行うと、証拠が失われます。
4. 根本原因の排除と復旧(Eradicate & Recover)
マルウェアの駆除、脆弱性パッチの適用、侵害されたアカウントのリセット、バックアップからのデータ復元を行います。
重要なのは「復旧を急ぎすぎない」ことです。根本原因を取り除かないまま復旧すると、同じ手口で再侵害されます。「とりあえず動くようにしたけど原因不明」は最もリスクの高い状態です。
バックアップからの復元を行う場合、復元先は感染前のクリーンな環境であることを確認してから作業します。バックアップが感染後に上書きされていないかも必ず確認してください。
5. 再発防止と事後報告(Post-Incident Activity)
最後に、なぜインシデントが発生したかの根本原因を分析し、同じことが起きないよう対策を講じます。
・事後報告書の作成: 経営者・関係部門向けに発生経緯・対応内容・今後の対策をまとめる
・手順書のアップデート: 今回の対応で発見した手順書の不足点を修正する
・社員への周知: 再発防止策を全社員に共有する
・外部報告の履行: 個人情報漏洩があった場合、個人情報保護委員会および本人への通知を行う(詳細は法律の専門家にご確認ください)
今日から作れる手順書テンプレート
以下に、中小企業向けの最低限の手順書テンプレートを示します。これをベースに自社の環境に合わせて修正してください。
基本情報欄
| 項目 | 記載内容 |
|---|---|
| 文書名 | 情報セキュリティインシデント対応手順書 |
| 作成日 | ○○年○月○日 |
| 最終更新日 | (インシデント発生後に更新) |
| 適用範囲 | 全社員・全情報システム |
| 作成・管理者 | 情報システム担当: 氏名・連絡先 |
インシデント分類と初期対応マトリクス
| インシデント種別 | 具体例 | 最初の30分でやること |
|---|---|---|
| ランサムウェア感染 | ファイルが開けない・要求画面が出た | LAN断線 → 上長・情シスへ報告 → 他端末の感染確認 |
| アカウント乗っ取り | 身に覚えのないログイン履歴・パスワード変更 | パスワード変更 → セッション無効化 → 送信メール確認 |
| 個人情報漏洩疑い | 不審なアクセスログ・情報持ち出しの疑い | アクセスログ保全 → 該当ファイルの特定 → 経営層へ報告 |
| フィッシング被害 | 不審メールのURLをクリックし情報入力した | パスワード変更 → 入力情報の特定 → 端末スキャン |
| マルウェア感染疑い | PCが重い・不審なプロセスが動いている | LAN断線 → ウイルススキャン → 感染確認後に報告 |
緊急連絡先リスト
| 連絡先 | 用途 | 連絡先情報 |
|---|---|---|
| 情シス担当者(主) | 第一報・対応指揮 | 氏名・携帯番号・メールアドレス |
| 情シス担当者(副) | 担当者不在時のバックアップ | 氏名・連絡先 |
| 経営層 | 重大インシデント時の意思決定 | 代表者・連絡先 |
| IPA サイバー110番 | ランサムウェア・標的型攻撃の相談 | 0120-100-668(平日10:00-12:00 / 13:00-17:00) |
| セキュリティベンダー | インシデント対応支援(有償) | 事前に契約先を記載しておく |
| 法律顧問・弁護士 | 個人情報漏洩時の法的対応 | 顧問弁護士の連絡先 |
この連絡先リストは印刷して保管しておくことを強くお勧めします。サイバー攻撃でネットワークが使えない状態では、デジタルデータにアクセスできない可能性があります。
手順書を「使えるもの」にするための3つのポイント
手順書を作ったはいいが「使われない」という状況は珍しくありません。実際に機能する手順書にするための工夫を紹介します。
1. 難しい言葉を使わない
手順書を使うのは情シス担当者だけではありません。社員が「異常を発見したときの報告手順」を参照することもあります。専門用語は最小限にして、「ネットワーク切断」ではなく「LANケーブルを抜く、またはWi-FiをOFFにする」と具体的に書きましょう。
2. 年に1回はテスト(机上訓練)を実施する
「ランサムウェアに感染したという状況を想定して、手順書に沿って動いてみる」訓練を年1回行うだけで、手順書の穴が見えてきます。実際に動いてみると「連絡先の電話番号が変わっていた」「バックアップが3ヶ月取られていなかった」といった問題が発見できます。
3. インシデント発生のたびに手順書を更新する
小さなヒヤリハットも含めて、何か起きたときは手順書をアップデートしましょう。現場のリアルが積み重なった手順書は、マニュアル本より何倍も実用的です。
中小企業でよくある落とし穴と注意点
手順書を作る際や、インシデント対応を進める中で、中小企業が陥りやすいパターンを挙げます。
・「情シスが1人だから手順書も1人で読むもの」という誤解: 情シス担当者が対応中に倒れたとき、他の誰も動けません。経営者や総務担当者が「最初の30分」だけでも動けるよう、初動対応を共有しておく必要があります
・バックアップの未確認: 「バックアップは取っている」と思っていたが、実は数ヶ月分しか残っておらず感染後のデータしか残っていなかったというケースがあります。定期的にバックアップの復元テストをしましょう
・クラウドサービスを盲点にする: 社内サーバーへの対応手順は整備できていても、Microsoft 365やGoogle Workspaceのアカウント侵害時の手順が抜けているケースがあります。クラウドも対象に含めましょう
・「通報義務」の見落とし: 個人情報保護法の改正により、一定規模以上の個人情報漏洩は報告義務があります。手順書に「漏洩が疑われたら即座に法的義務を確認する」ステップを入れておきましょう。詳細な判断は法律の専門家にご確認ください
・サイバー保険の未確認: 加入しているサイバー保険で「インシデント対応業者の費用がカバーされる」ことを知らなかったために自費で依頼したというケースもあります。保険内容を事前に把握しておきましょう
本記事のまとめ
中小企業のインシデント対応手順書について、作り方からテンプレートまでを解説しました。
・インシデント対応手順書は「発生後の被害拡大を最小化」するための道具
・基本フローは「検知→封じ込め→調査→復旧→再発防止」の5段階
・手順書は完璧を目指さず、まず1枚作ってから育てる
・連絡先リストは印刷して物理的に保管する
・年1回の机上訓練で手順書の穴を発見し更新する
・クラウドサービス・法的報告義務・サイバー保険を手順書の対象に含める
インシデント対応手順書は、火災保険と同じです。「使わないに越したことはないが、いざというときのために必ず備えておく」もの。今日から1時間で最低限の枠組みを作れます。最初の一歩を踏み出しましょう。
セキュリティ対策、何から始めればいいか迷っていませんか?
インシデント対応手順書の整備はセキュリティの第一歩です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント