なぜインシデント対応マニュアルが必要か
セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。マニュアルなしにインシデントに直面すると、パニックによる判断ミス、対応の遅れ、証拠の消失が発生し、被害が拡大します。
事前にマニュアルを策定し訓練しておけば、冷静な初動対応が可能になり、被害を最小限に抑えられます。また、ISMS認証や政府統一基準群でもインシデント対応手順の策定が要求されています。
対応の5フェーズ
| Phase | 目的 | 主なアクション |
|---|---|---|
| 1. 検知と報告 | 異常を発見し報告する | アラート確認、第一報の連絡 |
| 2. トリアージと初動 | 影響範囲と緊急度を判定 | 重大度の分類、対応チーム招集 |
| 3. 封じ込めと根絶 | 被害拡大を止める | 端末隔離、アカウント停止、マルウェア駆除 |
| 4. 復旧 | 業務を再開する | バックアップからの復元、段階的な復旧 |
| 5. 事後対応 | 再発を防止する | 原因分析、報告書作成、対策実施 |
体制と役割分担
| 役割 | 担当 | 責任 |
|---|---|---|
| インシデント責任者 | CISO / 経営層 | 最終的な意思決定、外部公表の判断 |
| インシデント対応リーダー | IT部門長 | 技術的な対応の指揮、フェーズ判断 |
| 技術対応チーム | IT担当者 / 外部ベンダー | 封じ込め、調査、復旧の実行 |
| 広報・法務 | 管理部門 | 顧客通知、監督官庁への報告、法的対応 |
| 記録係 | 任命された担当者 | 対応経過の時系列記録 |
💡 中小企業の現実的な体制
専任のCSIRT(Computer Security Incident Response Team)を設置できない中小企業では、IT担当者がリーダーを兼ね、外部のセキュリティベンダー(BTNコンサルティング等)を技術対応チームとして活用する体制が現実的です。
Phase 1:検知と報告
検知のソース
- EDR/アンチウイルスのアラート
- メールセキュリティ(フィッシング検知)
- 従業員からの報告(不審なメール、画面の異変)
- 外部からの通報(取引先、セキュリティ機関)
- ログ分析による異常検知
第一報の連絡先と手段
インシデント発見者 → IT部門(電話 or チャット)→ インシデント対応リーダー。メールは使わない(メールシステム自体が侵害されている可能性があるため)。
Phase 2:トリアージと初動対応
| 重大度 | 定義 | 対応タイムライン |
|---|---|---|
| Critical | ランサムウェア感染、大規模情報漏洩、基幹システム停止 | 即時対応(1時間以内に初動完了) |
| High | マルウェア感染(限定的)、不正アクセスの兆候 | 4時間以内に初動完了 |
| Medium | フィッシングメールのクリック、不審なログイン | 24時間以内に調査完了 |
| Low | ポリシー違反、軽微なアラート | 通常業務内で対応 |
Phase 3:封じ込めと根絶
- 短期封じ込め:感染端末のネットワーク切断(LANケーブル抜線 or EDRによるリモート隔離)
- 証拠保全:メモリダンプ取得、ログのエクスポート(この段階で電源を落とさない)
- 長期封じ込め:侵害されたアカウントのパスワードリセット、アクセストークンの無効化
- 根絶:マルウェアの駆除、バックドアの除去、脆弱性の修正
Phase 4:復旧
- バックアップからのデータ復元(復元前にバックアップの安全性を確認)
- 段階的な業務再開(重要システムから優先的に復旧)
- 復旧後の監視強化(再感染の兆候がないか集中的に監視)
Phase 5:事後対応と再発防止
- 原因分析(Root Cause Analysis):侵入経路、検知の遅れの原因、対応の問題点を特定
- 報告書の作成:インシデントの概要、タイムライン、影響範囲、対応内容、再発防止策
- 再発防止策の実施:技術的対策(パッチ適用、設定変更)と運用的対策(教育、手順改善)
- 関係機関への報告:個人情報保護委員会(個人情報漏洩時)、警察、IPA
マニュアルに含めるべき項目一覧
| # | 項目 | 内容 |
|---|---|---|
| 1 | 目的と適用範囲 | マニュアルの目的、対象とする組織・システム |
| 2 | インシデントの定義と分類 | 重大度の定義(Critical/High/Medium/Low) |
| 3 | 体制図と連絡先 | 役割分担、緊急連絡先一覧(社内・外部ベンダー・法律顧問) |
| 4 | 検知・報告手順 | 検知ソース、第一報のルート、報告テンプレート |
| 5 | トリアージ手順 | 重大度判定基準、エスカレーションルール |
| 6 | 封じ込め手順 | 端末隔離、アカウント停止、証拠保全の具体的手順 |
| 7 | 復旧手順 | バックアップ復元手順、業務再開の判断基準 |
| 8 | 事後対応手順 | 報告書テンプレート、関係機関への報告要件 |
| 9 | 訓練計画 | 年2回のインシデント対応訓練(卓上演習) |
| 10 | 改訂履歴 | マニュアルの版管理 |
BTNコンサルティングの支援
インシデント対応マニュアルの策定、体制構築、卓上演習(テーブルトップエクササイズ)の実施を支援します。
まとめ
インシデント対応マニュアルは「検知→トリアージ→封じ込め→復旧→事後対応」の5フェーズで構成します。中小企業ではIT担当者がリーダーを務め、外部ベンダーを技術チームとして活用する体制が現実的です。年2回の卓上演習でマニュアルの実効性を検証し、継続的に改善しましょう。