0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@btncon

セキュリティインシデント対応マニュアルの作り方

0
Posted at

はじめに

ランサムウェア感染、情報漏洩、不正アクセス。セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。インシデントが発生したときにパニックにならず、適切な初動対応を行うためには、事前のマニュアル整備が不可欠です。

本記事では、中小企業でも作成・運用できるインシデント対応マニュアルの作り方を、テンプレート形式で解説します。

マニュアルに含めるべき5つのセクション

1. インシデントの定義と分類

まず「何が起きたらインシデントか」を定義します。曖昧なままだと「これはインシデントなのか?」と判断に迷い、対応が遅れます。

重大インシデント(直ちに全社対応が必要)

  • ランサムウェア感染(ファイルが暗号化された)
  • 個人情報・機密情報の外部漏洩が確認された
  • 全社的なシステム停止
  • 不正アクセスによるデータ改ざんが確認された

中度インシデント(IT担当者が調査・対応)

  • マルウェアの検知(EDR等でブロック済みだが調査が必要)
  • 不正アクセスの試行が検知された(侵入は未確認)
  • フィッシングメールのリンクをクリックしてしまった

軽度インシデント(記録・報告のみ)

  • フィッシングメールを受信した(クリックしていない)
  • 不審なソフトウェアを検知した(削除済み)

2. 連絡体制

「誰に」「どの手段で」「何を報告するか」を明確にします。

社内連絡フロー

発見者 → 直属の上司 → IT担当者 → 経営層

報告すべき内容(5W1H)

  • いつ発見したか
  • 誰が(どの端末・アカウントで)発生したか
  • 何が起きたか(症状・被害の内容)
  • どこで(社内/リモート/出張先)
  • 現在の状態(対応済み/未対応/対応中)

外部連絡先リスト

  • IPA(情報処理推進機構):情報セキュリティ安心相談窓口
  • JPCERT/CC:インシデント報告窓口
  • 所轄の警察署:サイバー犯罪相談窓口
  • 顧問弁護士
  • サイバー保険会社
  • IT保守サービス会社

夜間・休日の連絡方法
電話連絡が基本。連絡先リストは紙で印刷し、IT担当者・管理職に配布しておきます(システム停止時にデジタルデータにアクセスできない可能性があるため)。

3. 初動対応手順

インシデント発見直後に行うべき手順をステップバイステップで記載します。

Step 1:被害の拡大防止

  • 感染が疑われるPCをネットワークから切断(LANケーブルを抜く/Wi-Fiを切る)
  • 電源は切らない(証拠が消える可能性がある)
  • 感染が広がっている可能性がある場合は、全社のネットワークを一時遮断

Step 2:証拠の保全

  • 画面のスクリーンショットを撮影
  • エラーメッセージ、ランサムノートの内容を記録
  • 発見時刻、発見者、発見経緯を記録
  • 可能であれば、監査ログのエクスポート

Step 3:関係者への報告

  • 連絡フローに従い、IT担当者→経営層に報告
  • 重大インシデントの場合は外部機関にも報告

Step 4:被害範囲の確認

  • 影響を受けたシステム・端末の特定
  • 影響を受けた可能性のあるデータの特定
  • 他の端末への感染の有無を確認

4. 復旧手順

インシデントの種類に応じた復旧手順を記載します。

ランサムウェア感染の場合

  1. 感染端末の隔離(完了済み)
  2. 感染範囲の特定
  3. バックアップからの復旧(バックアップが感染していないことを確認)
  4. 復旧したシステムのセキュリティ強化(感染経路の遮断)
  5. 全端末のフルスキャン
  6. パスワードの全社リセット

不正アクセスの場合

  1. 侵害されたアカウントの無効化
  2. 全社のパスワードリセット
  3. MFAの強制(未導入の場合)
  4. アクセスログの分析(侵入経路の特定)
  5. 不正に取得された可能性のあるデータの特定

5. 事後対応

インシデント収束後に行うべき作業です。

原因分析(根本原因の特定)

  • なぜインシデントが発生したか
  • どこに脆弱性があったか
  • 既存の対策で防げなかった理由

再発防止策の策定と実施

  • 特定された脆弱性への対策
  • セキュリティポリシーの見直し
  • 社員教育の追加実施

報告書の作成

  • インシデントの経緯、対応内容、被害範囲、再発防止策を文書化
  • 経営層への報告
  • 個人情報漏洩の場合は個人情報保護委員会への報告(法的義務)

訓練の実施

マニュアルは作って終わりではありません。年1回以上の机上訓練を実施し、マニュアル通りに動けるかを確認しましょう。

机上訓練のシナリオ例:「月曜日の朝、出社した社員のPCにランサムノートが表示されている。さあ、最初に何をする?」

全員で手順を確認し、マニュアルの不備や改善点を洗い出します。

まとめ

インシデント対応マニュアルは、大げさなドキュメントである必要はありません。A4で5〜10ページ程度にまとめ、「インシデントの定義」「連絡体制」「初動対応手順」「復旧手順」「事後対応」の5セクションをカバーすれば十分です。

最も重要なのは「作ったマニュアルが実際に使えるか」を訓練で検証すること。年1回の訓練を組み込んで、マニュアルを生きたドキュメントにしましょう。

筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?