インシデント対応フロー
インシデント対応の重要性
セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。どれだけ対策を講じても、100%の防御は不可能です。重要なのは、インシデント発生時に迅速かつ適切に対応して被害を最小限に抑えることです。ひとり情シスでも、事前に対応フローを策定しておくことで慌てずに行動できます。
インシデント対応の6フェーズ
NISTのインシデント対応ガイドライン(SP 800-61)を基に、中小企業向けの対応フローを解説します。
- 準備(Preparation)
- インシデント対応計画書の作成
- 連絡体制・エスカレーションルールの整備
- 対応ツール(ログ取得、隔離手順等)の準備
- 検知と分析(Detection & Analysis)
- 異常の検知(アラート、利用者からの報告、ログの異常)
- インシデントの分類と深刻度の評価
- 影響範囲の初期調査
- 封じ込め(Containment)
- 感染端末のネットワーク隔離(LANケーブルを抜く、Wi-Fiを切断)
- 被害拡大の防止(アカウント無効化、サービス停止等)
- 証拠保全のためのログ・メモリダンプ取得
- 根絶(Eradication)
- マルウェアの完全除去
- 攻撃者のアクセス経路の遮断
- 脆弱性の修正・パッチ適用
- 復旧(Recovery)
- クリーンなバックアップからのシステム復元
- 段階的なサービス再開と監視強化
- 再発がないことの確認
- 教訓(Lessons Learned)
- インシデントの振り返り(何が起きたか、対応は適切だったか)
- 再発防止策の策定と実施
- 対応計画の改善
CSIRT(シーサート)の構築
CSIRT(Computer Security Incident Response Team)は、インシデント対応を行う専門チームです。中小企業では専任チームの設置は難しいため、以下のように兼任体制を組みましょう。
- 責任者:経営者または役員(意思決定の権限を持つ人)
- 技術担当:ひとり情シス(対応の実務を担当)
- 広報担当:対外的な連絡窓口(総務部門等)
- 外部連携:セキュリティベンダーや弁護士への緊急連絡先を事前に確保
連絡体制の整備
インシデント発生時に「誰に」「何を」「いつ」報告するかを明確にしておきます。
| 報告先 | タイミング | 内容 |
|---|---|---|
| 経営者 | 検知後すぐ | 概要と初動対応の方針 |
| 外部ベンダー | 自社で対応困難な場合 | 技術支援の要請 |
| 個人情報保護委員会 | 漏えい判明後72時間以内 | 漏えい報告(法的義務) |
| 警察 | 犯罪が疑われる場合 | 被害届の提出 |
| IPA | 適宜 | ウイルス届出・不正アクセス届出 |
連絡先リストは紙で印刷してオフラインでも参照可能な状態にしておくことが重要です。ランサムウェア被害でPCが使えなくなった場合に備えましょう。
✅ 完了済み