セキュリティ

セキュリティインシデント対応計画の作り方|初動から復旧までの手順

セキュリティインシデント対応計画の策定方法を解説。発生時の初動対応フロー、関係者への報告手順、復旧後の再発防止策を中小企業向けに紹介します。

インシデント対応CSIRTセキュリティ危機管理

「システムにアクセスできない」「不審なログが大量に記録されている」「顧客から情報漏洩の指摘があった」——セキュリティインシデントは、予告なく突然発生します。その時、組織として正しい初動を取れるか、被害を最小限に抑えられるかは、事前の準備にかかっています。

私がこれまで支援してきた中小企業の多くは、「インシデントが起きてから対応を考える」状態でした。しかし、混乱の中で冷静な判断を下すのは困難です。誰が何をするかが明確でないと、対応が遅れ、被害が拡大し、信頼を失います。

本記事では、中小企業が最低限整備すべきセキュリティインシデント対応計画(IRP: Incident Response Plan)の作り方を、初動対応から復旧、再発防止まで実践的に解説します。まずはAIセキュリティガイドラインで全体像を把握し、パスワード管理で予防策を確認してから、本記事でインシデント発生時の対応体制を整えてください。

なぜインシデント対応計画が必要なのか

セキュリティインシデントは「起きるかもしれない」ではなく、「いつか必ず起きる」前提で備える必要があります。

統計が示すインシデントの現実

  • IPAの調査: 中小企業の約30%が過去1年間にセキュリティインシデントを経験
  • 平均復旧時間: 計画なしの場合、平均48時間。計画ありの場合、平均6時間
  • 平均損害額: 中小企業で1件あたり約500万円〜2,000万円

対応が遅れることで起こる被害の連鎖

初動24時間の遅れが引き起こす影響:

  • 攻撃者が社内ネットワークを横断的に侵害
  • 顧客データの大量流出
  • 取引先への二次被害拡大
  • メディアへの情報漏洩と風評被害
  • 法的責任の追及(個人情報保護法違反)

実例: ある製造業(従業員60名)では、ランサムウェア感染の初動が24時間遅れたため、バックアップサーバーまで暗号化され、復旧に3週間、復旧費用2,500万円がかかりました。インシデント対応計画があれば、初期段階で感染サーバーを隔離し、被害を最小化できた可能性が高いです。

実際に起きたインシデント事例

ここでは、私が支援先で遭遇した、または耳にした実際のインシデント事例を紹介します(社名・詳細は匿名化)。

事例1: ランサムウェア攻撃による業務停止

企業プロフィール: 小売業50名、在庫管理システムを自社運用

インシデント内容:

  • 従業員が開封したフィッシングメールからランサムウェア感染
  • 在庫管理システム、会計システムのデータが暗号化
  • 身代金要求(Bitcoin で約5,000万円)
  • バックアップが同じネットワーク上にあり、同時に暗号化される

発覚経緯: 月曜朝、出社した従業員がシステムにアクセスできず発覚

初動対応の問題点:

  • 誰に報告すべきか不明確(情報システム担当者が休暇中)
  • 感染範囲が不明(どのサーバーが影響を受けているか不明)
  • バックアップが使えないことが判明
  • 警察への通報が遅れる(24時間後)

影響:

  • 業務停止期間: 2週間
  • 復旧費用: 約1,800万円(外部専門家、新サーバー、データ復旧)
  • 売上損失: 約700万円(2週間の営業停止)
  • 顧客への謝罪と補償: 約300万円

総損害額: 約2,800万円

防げたはずのポイント:

  • インシデント対応計画があれば初動が迅速化
  • バックアップがオフラインまたは別ネットワークにあれば復旧可能
  • 従業員セキュリティ教育でフィッシングメール対策ができていれば感染防止

事例2: 内部不正による顧客情報持ち出し

企業プロフィール: サービス業80名、営業担当者が顧客情報を持ち出し

インシデント内容:

  • 退職予定の営業担当者が、転職先で使うために顧客リスト(3,000件)をUSBメモリにコピー
  • 退職後、転職先の競合他社で顧客リストを使用
  • 顧客から「御社の情報が流出しているのでは?」と連絡

発覚経緯: 顧客からの通報(退職者が転職先で同じ顧客にアプローチ)

初動対応の問題点:

  • 内部不正の検知ができていなかった(ログ監視なし)
  • 退職者のアクセス権限が削除されず、退職後もVPN接続可能
  • USB使用制限がなく、自由にデータをコピー可能
  • インシデント発覚後の対応手順が不明確

影響:

  • 顧客への謝罪訪問(全3,000社)
  • 法的措置(退職者と転職先企業への損害賠償請求)
  • 社内のアクセス制御・ログ監視体制の再構築
  • ブランドイメージの低下

総損害額: 約1,200万円(顧客対応、法務費用、システム改修)

防げたはずのポイント:

  • アクセスログ監視があれば異常なデータアクセスを検知
  • USB使用制限があればデータ持ち出しを防止
  • 退職時のアカウント削除が徹底されていれば退職後のアクセスを防止
  • アクセス制御が適切に設計されていれば防止可能

事例3: 標的型攻撃による社内情報漏洩

企業プロフィール: IT企業100名、経営層を狙った標的型攻撃

インシデント内容:

  • 社長宛てに「取引先からの重要書類」を装ったメールが届く
  • 添付ファイルを開くとマルウェアに感染
  • 攻撃者が社内ネットワークに侵入し、経営会議資料、M&A検討資料を窃取
  • 2か月間、気づかずに情報が流出し続ける

発覚経緯: セキュリティベンダーからの通報(外部サーバーへの不審な通信を検知)

初動対応の問題点:

  • 異常な通信を検知できていなかった(監視体制なし)
  • 感染から発覚まで2か月の空白期間
  • どの情報が漏洩したか特定が困難(アクセスログ不十分)
  • 社外への報告(取引先、監督官庁)の判断基準が不明確

影響:

  • M&A交渉の中止(情報漏洩により交渉相手が撤退)
  • 社内の情報管理体制の全面見直し
  • セキュリティ監査の実施と報告書作成
  • 取引先への謝罪と状況説明

総損害額: 約3,500万円(M&A中止の機会損失含む)

防げたはずのポイント:

  • 経営層へのセキュリティ教育(標的型攻撃の認識)
  • 異常通信の検知(SIEM、EDR等)
  • アクセスログの適切な保存と監視
  • インシデント対応計画があれば初動と報告が迅速化

インシデント対応計画の5つの構成要素

効果的なインシデント対応計画には、以下の5つの要素が必要です。

1. インシデント対応体制(誰が対応するか)

CSIRT(Computer Security Incident Response Team)の設置

中小企業では専任チームを置くのは困難なため、兼務体制で構成します。

最小構成の例(従業員50名規模):

役割担当者平時の業務インシデント時の役割
責任者情報システム部長IT全般管理全体統括、意思決定
技術対応システム担当者サーバー管理調査、復旧作業
広報対応総務部長総務業務社外発表、顧客対応
法務対応管理本部長法務業務法的判断、当局対応
経営報告社長秘書秘書業務経営層への報告

役割分担の明確化:

  • 各メンバーの連絡先(携帯電話、緊急連絡先)
  • 不在時の代行者(バックアップ体制)
  • 外部協力者(セキュリティベンダー、弁護士、警察)

2. インシデントの定義と分類(何をインシデントとするか)

インシデントの定義: 情報セキュリティに関する事象のうち、組織の情報資産に影響を及ぼす、または及ぼす可能性のある事象。

重要度による分類:

レベル定義対応期限
Criticalサービス停止、大量データ漏洩ランサムウェア、大規模不正アクセス即時(15分以内)
High一部データ漏洩、重要システム侵害顧客情報漏洩、標的型攻撃1時間以内
Medium限定的な被害、潜在的リスクフィッシングメール開封、不審なログ4時間以内
Low影響なし、または軽微セキュリティアラート、脆弱性情報営業時間内

インシデントの種類:

  • マルウェア感染(ランサムウェア、トロイの木馬等)
  • 不正アクセス(外部攻撃、内部不正)
  • 情報漏洩(データ流出、誤送信)
  • サービス妨害(DDoS攻撃)
  • 物理的脅威(サーバー盗難、災害)

3. 検知・報告フロー(どう気づき、誰に報告するか)

検知方法:

  • 監視ツールのアラート(異常通信、リソース逼迫)
  • 従業員からの報告(不審なメール、システム異常)
  • 外部からの通報(顧客、取引先、セキュリティベンダー)
  • 定期監査での発見

報告フロー:

[インシデント検知]

[第一発見者] → 直属の上長へ報告(口頭または電話)

[部門長] → CSIRT責任者へ報告(5分以内)

[CSIRT責任者] → 重要度を判定

Critical/High → 即座に経営層・関係部門へ報告
Medium → 1時間以内に報告
Low → 日次レポートで報告

報告すべき情報:

  • 発生日時、発見者
  • 事象の内容(何が起きたか)
  • 影響範囲(どのシステム、どのデータが影響を受けたか)
  • 現在の状況(進行中、収束済み)
  • 暫定対応の内容

4. 対応手順(何をするか)

インシデント対応は、以下の6つのフェーズで構成されます。

Phase 1: 検知・報告(0〜15分)

  • アラートまたは報告でインシデントを認識
  • CSIRT責任者へ報告
  • 重要度を判定

Phase 2: 初動対応(15分〜1時間)

  • 影響範囲の特定(どのシステム、どのデータが影響を受けたか)
  • 被害拡大の防止(感染サーバーの隔離、アカウント停止)
  • ログ・証拠の保全(削除・上書きされる前に保存)
  • 関係者への一次報告

Phase 3: 調査・分析(1時間〜数時間)

  • 原因の特定(攻撃手法、侵入経路)
  • 被害状況の詳細把握(流出データの特定)
  • 攻撃者の特定(可能な範囲で)
  • タイムライン作成(いつ何が起きたか)

Phase 4: 封じ込め・根絶(数時間〜数日)

  • マルウェアの駆除
  • 脆弱性の修正
  • 不正アカウントの削除
  • システムの復旧

Phase 5: 復旧(数日〜数週間)

  • バックアップからのデータ復元
  • システムの正常動作確認
  • 監視体制の強化
  • 通常業務への復帰

Phase 6: 事後対応(インシデント収束後)

  • インシデントレポート作成
  • 再発防止策の実施
  • 関係者への最終報告
  • ポストモーテム(振り返り)

5. 関係者への報告・公表基準(誰に何を伝えるか)

社内報告:

  • 経営層: 全てのCritical/Highインシデント、即座に報告
  • 関係部門: 影響を受ける部門に状況を共有
  • 全従業員: 必要に応じて注意喚起

社外報告:

  • 顧客: 個人情報漏洩の場合、影響を受ける顧客に通知
  • 取引先: 取引先のデータが影響を受けた場合、速やかに通知
  • 監督官庁: 個人情報保護委員会(個人情報漏洩の場合)
  • 警察: 犯罪の可能性がある場合、サイバー犯罪相談窓口へ通報

公表基準:

  • 大規模な個人情報漏洩(1,000件以上): プレスリリース発表
  • 社会的影響が大きい場合: Webサイトでの公表
  • 取引先・顧客への影響が限定的: 個別通知のみ

初動対応マニュアルの作成

インシデント発生時に、誰でも同じ初動を取れるよう、1枚のチェックリストにまとめます。

インシデント初動対応チェックリスト(Critical/High)

印刷して、各担当者のデスクに常備してください

ステップ1: 報告(5分以内)

  • CSIRT責任者に電話で報告(氏名: ◯◯、携帯: XXX-XXXX-XXXX)
  • 発生日時、事象の内容、影響範囲を簡潔に伝える
  • 経営層に報告(社長: XXX-XXXX-XXXX、専務: XXX-XXXX-XXXX)

ステップ2: 被害拡大の防止(15分以内)

  • 感染・侵害されたサーバーをネットワークから切り離す(LANケーブルを抜く、Wi-Fiを切る)
  • 不正アクセスされたアカウントを即座に停止
  • 関連する他のサーバーを一時停止(被害拡大防止)

ステップ3: 証拠保全(30分以内)

  • ログファイルをバックアップ(削除される前に保存)
  • システムのスナップショットを取得
  • 画面のスクリーンショットを撮影
  • 不審なメール、ファイルを別フォルダに保存

ステップ4: 一次報告(1時間以内)

  • 影響範囲を特定(どのシステム、どのデータ)
  • 暫定対応の内容をまとめる
  • 経営層・関係部門に一次報告メールを送信
  • 外部専門家への連絡(必要に応じて)

ステップ5: 外部への連絡(必要に応じて)

  • セキュリティベンダー(契約がある場合)
  • 警察(サイバー犯罪相談窓口: 都道府県警察サイバー犯罪相談窓口)
  • 個人情報保護委員会(個人情報漏洩の場合)
  • 顧客・取引先(影響がある場合)

連絡先一覧(緊急時)

社内:

  • CSIRT責任者: ◯◯ ◯◯(携帯: XXX-XXXX-XXXX)
  • 社長: ◯◯ ◯◯(携帯: XXX-XXXX-XXXX)
  • 情報システム部: ◯◯(内線: XXX、携帯: XXX-XXXX-XXXX)
  • 総務部長: ◯◯(携帯: XXX-XXXX-XXXX)

社外:

  • セキュリティベンダー: ◯◯社(電話: XXX-XXXX-XXXX、24時間対応)
  • 警察(サイバー犯罪相談窓口): #9110
  • 個人情報保護委員会: 03-6457-9680
  • 顧問弁護士: ◯◯法律事務所(電話: XXX-XXXX-XXXX)

詳細対応手順書の作成

初動対応の後、詳細な調査と復旧を進めます。

ランサムウェア感染時の対応手順

想定シナリオ: ファイルが暗号化され、身代金要求メッセージが表示される

対応手順:

1. 感染範囲の特定(1時間以内)

  • 感染サーバーをネットワークから即座に隔離
  • 他のサーバーで同様の症状がないか確認
  • 共有フォルダのアクセスログを確認(他のユーザーが感染ファイルにアクセスしていないか)
  • バックアップサーバーが無事か確認

2. ログ・証拠の保全(1時間以内)

  • 感染前後のアクセスログを保存
  • 身代金要求メッセージのスクリーンショット
  • 暗号化されたファイルの一覧を記録
  • ネットワーク通信ログを保存(C&Cサーバーへの通信を特定)

3. 感染経路の調査(2〜4時間)

  • 最初に感染したと思われる端末を特定
  • 感染のきっかけ(フィッシングメール、脆弱性悪用等)を特定
  • タイムライン作成(いつ感染し、いつ暗号化が始まったか)

4. 身代金要求への対応判断(即座)

  • 原則: 身代金は支払わない(理由: 復号化の保証なし、攻撃者への資金提供、再攻撃のリスク)
  • 経営層と協議し、方針を決定
  • 警察に通報(サイバー犯罪相談窓口)

5. 復旧作業(数日〜数週間)

  • バックアップからのデータ復元
  • 感染サーバーのOS再インストール
  • 脆弱性の修正(パッチ適用、設定変更)
  • 復旧後の動作確認
  • 監視体制の強化

6. 再発防止策(復旧後)

  • 全従業員へのフィッシング対策研修
  • バックアップのオフライン保存またはイミュータブル化
  • EDR(Endpoint Detection and Response)の導入検討
  • 多要素認証の全面導入

不正アクセス発覚時の対応手順

想定シナリオ: 見覚えのないログイン履歴、または外部からの通報で不正アクセスが発覚

対応手順:

1. アカウントの即時停止(5分以内)

  • 不正アクセスされたアカウントを即座に無効化
  • パスワードをリセット
  • セッションを強制終了

2. 影響範囲の特定(1時間以内)

  • 不正アクセスされた期間を特定
  • アクセスされたデータ、システムを特定
  • ダウンロードされたファイルの一覧を確認
  • 変更・削除された情報がないか確認

3. 侵入経路の調査(2〜4時間)

  • パスワード漏洩の可能性(フィッシング、使い回し)
  • 脆弱性悪用の可能性(未パッチの脆弱性)
  • 内部不正の可能性(元従業員、現従業員)
  • 他のアカウントへの横展開がないか確認

4. 封じ込め・根絶(4時間〜数日)

  • 脆弱性の修正(パッチ適用、設定変更)
  • 全てのアカウントのパスワード変更を強制
  • 多要素認証の即時導入
  • 不正に作成されたアカウントの削除

5. 被害状況の確定(数日)

  • 流出データの特定
  • 影響を受ける顧客・取引先のリストアップ
  • 法的義務の確認(個人情報保護委員会への報告要否)

6. 関係者への報告(確定後、速やかに)

  • 影響を受ける顧客・取引先への通知
  • 個人情報保護委員会への報告(必要な場合)
  • 警察への被害届提出(必要な場合)
  • プレスリリース発表(必要な場合)

内部不正発覚時の対応手順

想定シナリオ: 従業員が不正に情報を持ち出した、または不正アクセスを行った

対応手順:

1. 証拠保全(即座)

  • 対象者のアカウントを即座に停止(証拠隠滅防止)
  • 対象者のPC、USBメモリを保全(電源を切らずに隔離)
  • アクセスログ、メールログを保存
  • 社内カメラ映像の保全(物理的持ち出しの場合)

2. 事実確認(数時間〜数日)

  • ログ解析で不正行為の詳細を確認
  • 持ち出されたデータの特定
  • 動機・目的の調査(ヒアリング)
  • 他の共犯者がいないか確認

3. 法的対応の検討(即座)

  • 顧問弁護士に相談
  • 懲戒処分の検討(懲戒解雇、降格等)
  • 刑事告訴の検討(不正アクセス禁止法違反、業務上横領等)
  • 民事訴訟の検討(損害賠償請求)

4. 再発防止策(事後)

  • アクセスログ監視の強化
  • USB使用制限の導入
  • 退職者のアカウント削除フローの徹底
  • 従業員へのセキュリティ教育

インシデントレポートの作成

インシデント収束後、必ずレポートを作成し、再発防止に活かします。

インシデントレポートのテンプレート

# インシデントレポート

## 1. 基本情報
- **インシデントID**: INC-2026-001
- **発生日時**: 2026年3月10日 14:30
- **発覚日時**: 2026年3月10日 15:00
- **収束日時**: 2026年3月12日 18:00
- **重要度**: High
- **分類**: ランサムウェア感染
- **対応担当者**: ◯◯(情報システム部)

## 2. インシデントの概要
従業員がフィッシングメールを開封し、添付ファイルを実行したことで、
ランサムウェア「◯◯」に感染。営業部のファイルサーバー(約500GB)が暗号化された。

## 3. 発生原因
- 従業員のセキュリティ意識不足(フィッシングメール開封)
- メールフィルタリングの設定不備(添付ファイルの実行可能ファイルを許可)
- エンドポイント保護ソフトの未導入

## 4. 影響範囲
- 暗号化されたデータ: 営業部ファイルサーバー(約500GB)
- 業務停止期間: 2日間(営業部)
- 影響を受けた従業員: 20名
- 顧客データの漏洩: なし(確認済み)

## 5. 対応経過(タイムライン)

| 日時 | 事象 | 対応 |
|-----|------|------|
| 3/10 14:30 | フィッシングメール開封 | - |
| 3/10 15:00 | 暗号化開始、従業員が異常に気づく | CSIRT責任者へ報告 |
| 3/10 15:10 | 感染サーバーをネットワークから隔離 | 被害拡大防止 |
| 3/10 15:30 | 経営層へ一次報告 | 状況共有 |
| 3/10 16:00 | 外部セキュリティベンダーへ連絡 | 専門家支援要請 |
| 3/10 18:00 | 感染範囲の特定完了 | 他のサーバーは無事と確認 |
| 3/11 10:00 | バックアップからの復元開始 | 前日23時のバックアップから復元 |
| 3/12 18:00 | 復旧完了、動作確認 | 通常業務再開 |

## 6. 根本原因分析
1. **直接原因**: 従業員がフィッシングメールを開封し、マルウェアを実行
2. **間接原因**:
   - セキュリティ教育の不足(フィッシング訓練の未実施)
   - メールフィルタリングの設定不備
   - エンドポイント保護ソフトの未導入
3. **根本原因**: セキュリティ対策の優先順位が低く、予算・工数が割かれていなかった

## 7. 再発防止策

| 対策 | 担当 | 期限 | 状況 |
|------|------|------|------|
| 全従業員へのフィッシング対策研修 | 総務部 | 3/20 | 実施済 |
| メールフィルタリング強化(実行可能ファイルのブロック) | 情報システム部 | 3/15 | 実施済 |
| EDR(エンドポイント保護)の導入 | 情報システム部 | 4/30 | 進行中 |
| 月1回のフィッシング訓練の定例化 | 総務部 | 4月〜 | 予定 |
| バックアップのオフライン保存 | 情報システム部 | 3/25 | 実施済 |

## 8. コスト

| 項目 | 金額 |
|------|------|
| 外部セキュリティベンダー支援費 | 50万円 |
| EDR導入費用 | 30万円 |
| 従業員研修費用 | 10万円 |
| 業務停止による売上損失 | 推定100万円 |
| **合計** | **190万円** |

## 9. 教訓
- インシデント対応計画があったため、初動が迅速だった
- バックアップが有効で、2日間で復旧できた
- 今後は予防(教育、技術対策)に注力する

## 10. 承認
- 作成者: ◯◯(情報システム部、2026/3/15)
- 承認者: ◯◯(CSIRT責任者、2026/3/16)

ポストモーテム(振り返り)の実施

インシデント収束後、関係者全員で振り返りを行います。

ポストモーテムの目的

  • 何がうまくいったか、何が問題だったかを客観的に分析
  • 再発防止策を全員で検討
  • 責任追及ではなく、システム改善にフォーカス

ポストモーテムの進め方

参加者:

  • CSIRT全メンバー
  • インシデント対応に関わった従業員
  • 経営層(必要に応じて)

所要時間: 60〜90分

アジェンダ:

  1. インシデントの概要説明(10分)
  2. タイムラインの振り返り(20分)
  3. うまくいった点の共有(15分)
  4. 改善すべき点の洗い出し(20分)
  5. 再発防止策の検討(20分)
  6. まとめと次回アクション(10分)

注意点:

  • 個人を責めない(「誰が悪い」ではなく「何が問題か」)
  • 具体的な改善策を決める(曖昧な結論で終わらせない)
  • 議事録を作成し、全社共有

訓練とシミュレーション

インシデント対応計画を作っても、訓練しなければ実際に使えません。

訓練の種類

1. 卓上演習(Tabletop Exercise)

  • 実際のシステムを使わず、シナリオベースで対応を議論
  • 頻度: 四半期に1回
  • 所要時間: 60分

シナリオ例: 「月曜朝、営業部から『ファイルが開けない』と連絡がありました。確認すると、全てのファイルが暗号化され、身代金要求メッセージが表示されています。あなたは何をしますか?」

議論内容:

  • 誰に報告するか
  • どのシステムを隔離するか
  • 外部への連絡タイミング
  • 復旧手順の確認

2. 実地訓練(Live Exercise)

  • 実際のシステムを使って対応を実践
  • 頻度: 年1回
  • 所要時間: 半日〜1日

訓練内容:

  • テスト環境でマルウェア感染を模擬
  • ログ解析、システム隔離、復旧作業を実践
  • 所要時間を計測し、目標時間と比較

3. レッドチーム演習(高度)

  • 外部のセキュリティ専門家が攻撃者役となり、実際に攻撃を仕掛ける
  • 頻度: 年1回(予算がある場合)
  • 所要時間: 数日〜数週間

訓練後のフォローアップ

訓練で見つかった問題点の例:

  • 連絡先が古く、担当者に連絡がつかなかった
  • 手順書の記載が曖昧で、実際に何をすればよいか分からなかった
  • バックアップの復元手順が複雑で、時間がかかった

改善策:

  • 連絡先の定期更新(四半期ごと)
  • 手順書の具体化(スクリーンショット追加)
  • 復元手順の簡略化(スクリプト化)

外部リソースの活用

中小企業では、全てを内製化するのは困難です。外部リソースを活用しましょう。

セキュリティベンダーとの契約

サービス例:

  • インシデント対応支援(24時間365日対応)
  • フォレンジック調査(証拠保全、原因分析)
  • 復旧支援(データ復元、システム復旧)

費用:

  • 月額: 5万円〜20万円(監視・相談サービス)
  • インシデント発生時: 50万円〜300万円(対応支援)

選定基準:

  • 24時間対応可能か
  • 過去の対応実績
  • 費用の透明性
  • 日本語対応

サイバー保険の加入

補償内容:

  • インシデント対応費用(専門家支援、フォレンジック)
  • 復旧費用(データ復元、システム再構築)
  • 損害賠償費用(顧客への賠償)
  • 営業損失(業務停止期間の売上減少)

費用:

  • 年間保険料: 10万円〜50万円(企業規模・補償内容による)

選定のポイント:

  • 補償範囲(ランサムウェア、不正アクセス等)
  • 補償上限額
  • 免責金額
  • 事故対応サービスの有無

まとめ: 今日から始める3ステップ

インシデント対応計画の整備は、複雑に見えますが、小さく始めて段階的に拡充できます。

Step 1: 最低限の体制を整える(1週間)

  • CSIRT担当者を決める(兼務でOK)
  • 緊急連絡先リストを作成
  • インシデント初動対応チェックリストを印刷して配布

Step 2: 手順書を作る(1か月目)

  • 主要なインシデント(ランサムウェア、不正アクセス)の対応手順書を作成
  • 外部リソース(セキュリティベンダー、警察)の連絡先を整理
  • インシデントレポートのテンプレート作成

Step 3: 訓練と改善(3か月〜)

  • 四半期に1回、卓上演習を実施
  • 訓練で見つかった問題点を手順書に反映
  • 年1回、実地訓練を実施

インシデント対応計画は「作って終わり」ではなく、継続的に改善し続けることが重要です。まずは小さな一歩から始め、組織の成熟度に合わせて拡充してください。

関連記事