サイバー攻撃やシステム侵害が発生したとき、組織の被害を左右するのは対応の速さと正確さです。警察庁の調査によれば、インシデント発覚から初動対応完了までの平均時間が長い組織ほど、情報漏洩件数・復旧コスト・事業停止日数のすべてで被害が拡大する傾向が確認されています。
しかし、多くの企業では「いざインシデントが発生したとき、何をすればよいかわからない」という状態が続いています。手順書がない、担当者が不明確、ベンダー連絡先がわからない――そうした準備不足が被害を数倍に拡大させます。
本記事では、インシデントレスポンスの6ステップ対応フローからランサムウェア感染時の30分以内初動対応、プレイブックの作り方、CSIRT・外部委託SOCの活用法まで、情報システム担当者・CISO・セキュリティ担当者がすぐに使える実務ガイドとしてまとめました。
インシデントレスポンスとは
インシデントレスポンス(Incident Response / IR)とは、サイバー攻撃・情報漏洩・システム侵害などのセキュリティインシデントが発生した際に、被害を最小化して正常な業務状態へ復旧するための計画的な対応プロセスのことです。
単なる「障害対応」との違いは、攻撃者の行動を封じ込め、証拠を保全しながら根本原因を特定・排除するという点にあります。適切なインシデントレスポンスができていない組織では、復旧後も攻撃者がシステム内に潜伏し続け、再度被害が発生するケースが後を絶ちません。
インシデントレスポンスが必要なシーン
インシデント種別 | 具体例 |
|---|---|
マルウェア感染 | ランサムウェア・情報窃取型マルウェア・RAT |
不正アクセス | VPN・RDP・クラウドへの不正ログイン |
情報漏洩 | 顧客情報・機密データの外部流出 |
DDoS攻撃 | Webサービス・ECサイトへの大量リクエスト |
内部不正 | 従業員による意図的なデータ持ち出し |
サプライチェーン侵害 | 委託先経由での自社システム侵害 |
インシデントレスポンスの6ステップ
NISTサイバーセキュリティフレームワークやSANS Instituteのガイドラインに基づく、国際標準的な6段階対応フローを解説します。
【インシデントレスポンス 6ステップフロー】
┌──────────┐
│ STEP 1 │ 準備(Preparation)
│ │ 手順書整備・体制構築・ツール準備
└────┬─────┘
│
┌────▼─────┐
│ STEP 2 │ 検知・分析(Detection & Analysis)
│ │ アラート確認・被害範囲の特定
└────┬─────┘
│
┌────▼─────┐
│ STEP 3 │ 封じ込め(Containment)
│ │ 感染拡大の阻止・ネットワーク遮断
└────┬─────┘
│
┌────▼─────┐
│ STEP 4 │ 根絶(Eradication)
│ │ マルウェア除去・脆弱性の修正
└────┬─────┘
│
┌────▼─────┐
│ STEP 5 │ 復旧(Recovery)
│ │ システム復元・業務再開
└────┬─────┘
│
┌────▼─────┐
│ STEP 6 │ 教訓(Lessons Learned)
│ │ 原因分析・再発防止策の策定
└──────────┘STEP 1:準備(Preparation)
インシデントは「いつか必ず起きる」という前提で準備を行うフェーズです。
主な準備内容
- インシデント対応手順書(プレイブック)の作成
- CSIRT・SOCなどの対応体制の整備
- インシデント対応ツール(フォレンジックツール・ログ収集基盤)の準備
- 外部IR支援ベンダー・法律事務所・広報担当との連携先確定
- 訓練・シミュレーションの定期実施
STEP 2:検知・分析(Detection & Analysis)
インシデントを検知し、被害の範囲と深刻度を把握するフェーズです。
主な対応内容
- SIEM・EDR・SOCからのアラート確認
- ログ分析による侵害範囲の特定(どの端末・アカウントが影響を受けているか)
- インシデントの重大度分類(P1〜P4など)
- 証拠ログ・メモリダンプの保全(フォレンジック証拠保全)
- 関係者への第一報
STEP 3:封じ込め(Containment)
攻撃の拡大を阻止するフェーズです。短期封じ込めと長期封じ込めに分けて考えます。
封じ込め種別 | 対応内容 |
|---|---|
短期封じ込め | 感染端末のネットワーク遮断・アカウント無効化・C2通信のブロック |
長期封じ込め | 代替システムへの切り替え・監視強化・追加認証の適用 |
STEP 4:根絶(Eradication)
攻撃者の痕跡・マルウェアをシステムから完全に除去するフェーズです。
主な対応内容
- マルウェアの完全削除(単純なウイルス対策ソフトスキャンでは不十分な場合が多い)
- バックドア・持続化メカニズムの特定と除去
- 悪用された脆弱性へのパッチ適用
- 侵害されたアカウントのパスワードリセット・MFA再設定
STEP 5:復旧(Recovery)
システムを安全な状態で業務に戻すフェーズです。慎重な段階的復旧が重要です。
主な対応内容
- クリーンなバックアップからのシステム復元
- システムの動作確認・監視強化のうえ段階的に本番復帰
- ユーザーへの業務再開通知
- 復旧後の異常監視の継続(攻撃者の再侵入を検知するため)
STEP 6:教訓(Lessons Learned)
インシデント収束後、72時間〜2週間以内に振り返りを行うフェーズです。
主な対応内容
- タイムライン整理(何がいつ起きたか)
- 初動対応の評価(何がうまくいったか/いかなかったか)
- 根本原因の特定と再発防止策の策定
- 手順書・体制の改善
- 必要に応じた規制当局・顧客への報告
ランサムウェア感染時の初動対応手順(30分以内にすべきこと)
ランサムウェアは感染後、急速に他の端末・サーバーへ横展開します。最初の30分の判断が被害規模を決定的に左右します。
感染確認〜30分以内の対応チェックリスト
【ランサムウェア初動対応 30分フロー】
発見(0分)
└─ 感染端末でファイルが暗号化されている/身代金要求メッセージを確認
│
▼
[5分以内] ① 感染端末を即座にネットワークから物理遮断
- LANケーブルを抜く/Wi-Fiをオフにする
- ただし電源は切らない(メモリ上の証拠保全のため)
│
▼
[10分以内] ② インシデント対応チームへ第一報
- 情報システム部門長・CISO・経営層への緊急連絡
- 外部SOC・IRベンダーへの連絡(契約がある場合)
│
▼
[15分以内] ③ 被害範囲の初期確認
- 他の端末・サーバーで同様の症状がないか確認
- ネットワーク全体の通信ログを確認(横展開の有無)
- 共有フォルダ・バックアップサーバーへの影響確認
│
▼
[20分以内] ④ 追加感染端末のネットワーク遮断
- 影響が疑われるセグメント全体の遮断も検討
- VPN・リモートアクセスの一時停止
│
▼
[25分以内] ⑤ 証拠保全の開始
- 感染端末のメモリダンプ取得(可能な場合)
- ログファイルのバックアップ(SIEM・EDR・ファイアウォールログ)
- 身代金要求メッセージのスクリーンショット保存
│
▼
[30分以内] ⑥ バックアップの安全確認と隔離
- バックアップサーバーが感染していないか確認
- 感染している場合はバックアップも即座に遮断
- オフラインバックアップの保全ランサムウェア初動対応での絶対NGアクション
NGアクション | 理由 |
|---|---|
感染端末の電源をすぐに切る | メモリ上の証拠(暗号鍵・マルウェアの挙動情報)が消滅する |
ウイルス対策ソフトでスキャン・削除する | 証拠が消去され、フォレンジック調査が困難になる |
身代金を支払う(最初の判断で) | 復号鍵が提供される保証がなく、攻撃者の資金源となる |
社内一斉メールで状況を共知らせる | 攻撃者が内部メールを監視している可能性がある |
バックアップから即座に復元する | バックアップも感染している可能性があり、拡大させるリスク |
インシデント対応手順書(プレイブック)の作り方
インシデントレスポンスを機能させる核心は事前に作成された手順書(プレイブック)です。緊急時に「何をすればよいか」を一から考える余裕はありません。
プレイブックに含めるべき必須要素
1. インシデント分類基準
重大度 | 定義 | 対応目標時間(RTO) |
|---|---|---|
P1(クリティカル) | 事業継続に重大な影響(全社ネットワーク停止・大規模漏洩) | 即時対応・24時間365日 |
P2(高) | 重要システム・個人情報への影響 | 1時間以内に対応開始 |
P3(中) | 一部システム・業務への影響 | 4時間以内に対応開始 |
P4(低) | 軽微な異常・予防的対応 | 翌営業日以内に対応 |
2. 連絡体制と役割分担
インシデント対応チーム(緊急連絡先リスト)
役割 担当者名 連絡先(携帯)
----------------------------------------------------
インシデント指揮官 ○○ ○○ 090-XXXX-XXXX
技術リード △△ △△ 090-XXXX-XXXX
広報担当 □□ □□ 090-XXXX-XXXX
法務・コンプライアンス ×× ×× 090-XXXX-XXXX
外部IRベンダー AEVUS SOC 0120-XXX-XXX
法律事務所 ●● 法律事務所 03-XXXX-XXXX
サイバー保険会社 ○○損保 0120-XXX-XXX3. インシデント種別ごとのシナリオ別手順
- ランサムウェア感染プレイブック
- 不正アクセス(VPN/RDP)プレイブック
- 情報漏洩・データ流出プレイブック
- フィッシング・ビジネスメール詐欺プレイブック
- DDoS攻撃プレイブック
4. 証拠保全手順
- どのログを・どの順番で・どこに保存するか
- フォレンジックツールの使い方(FTK Imager、Volatilityなど)
5. 外部報告・通知基準
- 個人情報保護委員会への報告(個人情報漏洩の場合、原則72時間以内)
- 警察・サイバー警察局への届け出基準
- 顧客・取引先への通知タイミング
- プレスリリースの判断基準
プレイブック作成のステップ
- 現状把握 ─ 既存の手順書・連絡先リストを棚卸し
- インシデントシナリオ定義 ─ 自社で起こりうるインシデント種別を列挙
- 役割・責任の明確化 ─ RACI図で担当者を確定(特に「決裁権者」を明示)
- シナリオ別手順の記述 ─ 具体的なコマンド・ツール・判断基準まで落とし込む
- 訓練による検証 ─ 机上演習・実機演習でプレイブックをテスト
- 定期的な更新 ─ 年1回以上、システム変更・新たな脅威に合わせて改訂
体制構築:CSIRTとSOCの違いと外部委託の活用
CSIRTとSOCの違い
インシデントレスポンスを語る上でよく混同される「CSIRT」と「SOC」は、役割が異なります。
項目 | CSIRT(Computer Security Incident Response Team) | SOC(Security Operations Center) |
|---|---|---|
主な役割 | インシデント発生時の対応・調整・指揮 | 24時間365日の監視・検知・アラート対応 |
活動タイミング | インシデント発生時(有事対応) | 常時稼働(平時・有事両方) |
主な業務 | 封じ込め・根絶・復旧・外部調整・再発防止 | ログ監視・脅威検知・アラートトリアージ |
組織形態 | 社内チームとして設置(兼任可) | 専用組織(内製または外部委託) |
インプット | SOCからのエスカレーション・外部情報 | SIEM・EDR・NDRなどのセキュリティツール |
つまり、SOCが「早期発見・検知」を担い、CSIRTが「対応・指揮」を担う、両輪の関係です。
内製 vs 外部委託SOCの選択基準
判断軸 | 内製SOC | 外部委託SOC |
|---|---|---|
初期コスト | 高い(人材採用・ツール導入) | 低い(月額費用) |
対応品質 | 自社システムへの深い理解 | 多数の脅威事例への対応経験 |
24時間対応 | 困難(コストが高い) | 標準提供 |
向いている組織 | 大企業・金融・インフラ | 中堅・中小企業・DX推進中の企業 |
多くの中堅・中小企業にとっては、外部委託SOCを活用してCSIRTとの連携を整えることが現実的かつコスト効率の高い選択です。
外部委託SOCがインシデントレスポンスを支援できること
- 24時間365日のログ監視・アラートトリアージ
- インシデント検知時の即時エスカレーションと初動支援
- フォレンジック調査・マルウェア解析
- プレイブック作成支援・CSIRT体制構築コンサルティング
- 定期的な脅威ハンティングと報告
インシデント対応訓練の重要性
プレイブックを作成しても、訓練していなければ緊急時に機能しません。
訓練の種類と目的
訓練種別 | 内容 | 推奨頻度 |
|---|---|---|
机上演習(TTX) | シナリオを読み上げ、各担当者が口頭で対応手順を確認 | 年2回以上 |
シミュレーション演習 | 実際のインシデントを模擬し、ツール・連絡手順を実際に動かす | 年1回以上 |
レッドチーム演習 | 攻撃者役が実際に侵入を試み、検知・対応能力を検証 | 年1回(大企業・重要インフラ向け) |
フィッシング訓練 | 標的型メールの訓練メールを送付し、クリック率を測定 | 四半期ごと |
訓練で確認すべきポイント
- 検知時間(MTTD):インシデント発生から検知までの平均時間
- 対応時間(MTTR):検知から封じ込め完了までの平均時間
- 連絡体制の機能確認:夜間・休日でも連絡が取れるか
- 意思決定の明確さ:封じ込めの判断が誰でも・どんな状況でもできるか
訓練結果は必ず記録し、プレイブックの改善に反映させましょう。
費用目安:外部IR支援・SOCサービス
インシデントレスポンス支援(有事対応)の費用
有事のIR(インシデントレスポンス)支援は、被害規模・調査範囲によって大きく異なります。
支援内容 | 費用目安 |
|---|---|
初動対応支援(リモート) | 50万〜150万円程度 |
フォレンジック調査(端末5台程度) | 150万〜400万円程度 |
大規模インシデント対応(全社規模) | 500万〜数千万円 |
訴訟・規制対応支援(法的サポート含む) | 別途法務費用が発生 |
重要:サイバー保険への加入でIR費用をカバーできるケースが増えています。保険会社指定のIRベンダーとの連携も確認してください。
平時のSOCサービス(監視・検知)の費用
サービス種別 | 費用目安(月額) | 対象規模 |
|---|---|---|
マネージドSOC(基本) | 30万〜80万円/月 | 中小〜中堅企業 |
マネージドSOC(フル) | 80万〜200万円/月 | 中堅〜大企業 |
MDR(Managed Detection and Response) | 20万〜100万円/月 | 規模に応じて |
CSIRT構築コンサルティング | 200万〜500万円(初期費用) | 全規模 |
コスト最適化のポイント:
- 監視対象を絞り込む(全端末ではなく重要資産に集中)
- EDR・SIEMなど既存ツールとの連携で費用を抑制
- インシデント対応訓練をSOCサービスに含めることで訓練費を節約
まとめ:インシデントレスポンス体制の優先アクション
インシデントレスポンスの構築は、一夜にして完成するものではありません。しかし、以下の優先アクションから始めることで、最悪の事態を防ぐことができます。
今すぐ着手すべき3つのアクション
- 緊急連絡先リストの整備
情報システム部門長・CISO・経営層・外部ベンダーの携帯番号を一枚の紙にまとめ、全員が持つ。これだけで初動の遅れを大幅に削減できます。
- ランサムウェア感染時のフロー図を作成・共有
本記事の「30分フロー」を自社の環境に合わせてカスタマイズし、担当者全員に共有・印刷して配布する。
- バックアップの確認と隔離
バックアップがオフライン(ネットワーク非接続)で保管されているか確認する。接続状態のバックアップはランサムウェアに暗号化されるリスクがあります。
AEVUSのインシデントレスポンス支援サービス
AEVUSは、24時間365日の監視体制を持つマネージドSOCと、インシデント発生時の即時IR支援を一体で提供しています。
- 検知から対応まで一気通貫:SOCが検知し、IRチームが即時対応。別ベンダーへの引き継ぎタイムラグなし
- プレイブック・CSIRT構築支援:自社体制の構築から手順書作成まで伴走支援
- フォレンジック・マルウェア解析:有事の際の原因特定・証拠保全に対応
- 訓練・演習サポート:机上演習からレッドチーム演習まで対応可能
「手順書がない」「いざというとき誰に連絡すればよいか分からない」という状態のうちに、ぜひご相談ください。
▶ AEVUSのSOC・インシデントレスポンス支援サービスを見る:/service-soc.html
