インシデント対応フローの作成方法｜セキュリティ事故発生時の行動手順

「サイバー攻撃を受けた」「マルウェアに感染したかもしれない」――そんな緊急事態が起きたとき、御社では誰がどう動くか明確になっているでしょうか。セキュリティインシデントの発生時、事前に対応手順が整備されていないと、初動の遅れから被害が拡大してしまいます。この記事では、中小企業でも実践できるインシデント対応フローの作成方法を、具体的なステップとともに解説します。

インシデント対応フローとは何か

インシデント対応フローの定義

インシデント対応フローとは、セキュリティ事故が発生した際に、誰が何をどの順序で行うかを定めた行動手順書のことです。マルウェア感染、不正アクセス、情報漏えいなど、さまざまなセキュリティインシデントに対して、検知から復旧までの一連の流れを文書化したものを指します。

一般的なインシデント対応フローは、以下の6つのフェーズで構成されます。

• 準備：事前の体制整備・ツール導入
• 検知・分析：異常の発見と影響範囲の特定
• 封じ込め：被害拡大の防止
• 根絶：攻撃者の排除・原因の除去
• 復旧：システムの正常化
• 事後対応：再発防止策の実施

これらのフェーズごとに、具体的な対応手順と責任者を明確にしておくことで、有事の際にスムーズな対応が可能になります。

なぜ事前準備が必要なのか

セキュリティインシデントは突然発生します。事前に対応手順が整備されていない場合、以下のような問題が発生します。

• 誰に報告すればよいか分からず、初動が遅れる
• 感染端末をネットワークから切り離すべきか判断できない
• 証拠となるログが上書きされてしまう
• 外部の専門家に連絡する窓口が分からない
• 経営層への報告が遅れ、適切な意思決定ができない

独立行政法人情報処理推進機構(IPA)の調査によると、サイバー攻撃を受けた企業の約6割が、初動対応の遅れにより被害が拡大したと報告しています。特にランサムウェア被害では、感染端末を適切に隔離できなかったことで、ネットワーク全体に被害が広がるケースが多く見られます。

インシデント対応フローを事前に整備しておくことで、混乱を最小限に抑え、冷静かつ迅速な対応が可能になります。

中小企業でも作れるフローの特徴

インシデント対応フローと聞くと、「大企業向けの複雑な仕組み」というイメージを持つ方も多いかもしれません。しかし、中小企業では以下のような特徴を持つシンプルなフローが効果的です。

• A4用紙1〜2枚に収まる簡潔さ：緊急時に読む余裕がないため、要点を絞る
• 専門用語を避けた平易な表現：IT専門知識がない経営層でも理解できる
• フローチャート形式：視覚的に判断ルートが分かりやすい
• 実際に使える連絡先を記載：外部ベンダーや警察の窓口を事前に確保

重要なのは、**「完璧なフロー」ではなく「実際に使えるフロー」**を作ることです。まずは基本的な対応手順から始め、訓練や実際のインシデント対応を通じて改善していく姿勢が大切です。

インシデント対応フローに必要な6つの要素

検知・報告ルート

インシデント対応の第一歩は、異常を検知した従業員が迷わず報告できる体制を整えることです。以下の項目を明確にしましょう。

• 第一報告先：IT部門の責任者、または総務部門など
• 報告方法：電話、メール、社内チャットなど複数の手段を用意
• 報告すべき事象：「ウイルス警告が出た」「不審なメールを開いた」「システムが動かない」など具体例を列挙
• 緊急連絡網：夜間・休日の連絡先も含める

特に重要なのは、「報告してくれてありがとう」という文化を醸成することです。従業員が「怒られるのではないか」と恐れて報告を躊躇すると、初動が遅れて被害が拡大します。

初動対応の判断基準

報告を受けた担当者が、どの程度の対応を取るべきか判断できる基準を設けましょう。例えば、以下のような3段階のレベル分けが有効です。

このような判断基準があれば、現場担当者が迷わず適切なエスカレーションを行えるようになります。

役割分担と連絡体制

インシデント対応では、複数の関係者が連携して動く必要があります。以下のような役割分担を事前に決めておきましょう。

• インシデント対応責任者：全体の指揮を執る(CIO、IT部門長など)
• 技術担当者：システムの調査・復旧作業を実施
• 広報担当者：外部への情報公開を判断・実施
• 法務担当者：個人情報保護委員会への報告など法的対応を担当
• 経営層：重要な意思決定(システム停止、外部公表など)を行う

また、外部の専門家との連絡体制も重要です。以下のような連絡先を事前にリスト化しておきましょう。

• セキュリティベンダー(契約している場合)
• JPCERT/CC(事案によっては相談・報告)
• 所轄警察署のサイバー犯罪相談窓口
• 顧問弁護士

証拠保全の手順

インシデント発生時は、証拠となるログや端末の状態を保全することが非常に重要です。適切な証拠保全ができていないと、以下のような問題が発生します。

• 攻撃の手口や侵入経路が特定できない
• 被害範囲が正確に把握できない
• 警察への被害届や訴訟に必要な証拠が残らない
• 再発防止策を適切に立てられない

具体的な証拠保全手順の例は以下の通りです。

• 感染端末の電源を切らない：メモリ上の情報が消失するため、ネットワークから切り離すが電源は入れたまま
• 各種ログを取得・保存：ファイアウォールログ、アクセスログ、メールログなど
• スクリーンショットの撮影：警告メッセージや不審な画面の記録
• タイムラインの記録：「いつ誰が何を発見したか」を時系列で記録

ただし、証拠保全は専門的な知識が必要な場合も多いため、自社で対応が難しい場合は、速やかに外部の専門家(フォレンジック調査会社など)に依頼することも検討しましょう。

インシデント対応フロー作成の4ステップ

想定インシデントの洗い出し

まずは、自社で発生しうるセキュリティインシデントの種類を洗い出しましょう。以下のような事象が代表的です。

• マルウェア・ランサムウェア感染：メール添付ファイルやWebサイト経由での感染
• 不正アクセス：サーバーやクラウドサービスへの不正ログイン
• 情報漏えい：個人情報や機密情報の外部流出
• 内部不正：従業員による意図的な情報持ち出し
• DDoS攻撃：Webサイトやサービスへの大量アクセスによる停止
• 紛失・盗難：ノートPCやUSBメモリの紛失

業種や事業内容によって想定すべきインシデントは異なります。例えば、ECサイトを運営している企業であれば顧客情報の漏えいリスクが高く、製造業であれば設計図面などの知的財産の流出リスクが高いといった具合です。

対応フェーズごとの行動定義

次に、各インシデントに対してフェーズごとの具体的な行動を定義します。先ほど紹介した6つのフェーズ(準備・検知・封じ込め・根絶・復旧・事後対応)ごとに、「誰が」「何を」「どうする」を明確にしましょう。

例えば、「マルウェア感染疑い」の場合、以下のような流れになります。

• 検知・分析：従業員が不審な動作を発見→IT担当者に報告→ウイルス対策ソフトでスキャン実施
• 封じ込め：感染が確認されたらネットワークから切断→他の端末への感染がないか確認
• 根絶：マルウェアの駆除→必要に応じてOSの再インストール
• 復旧：バックアップからデータ復元→通常業務への復帰確認
• 事後対応：感染経路の特定→従業員への注意喚起→セキュリティ対策の見直し

このように、具体的な行動レベルまで落とし込むことで、現場が迷わず動けるフローになります。

関係者の役割と権限を明確化

インシデント対応では、意思決定の権限を明確にしておくことが重要です。特に以下のような判断については、誰が最終決定を下すのか事前に決めておきましょう。

• サーバーやシステムを緊急停止する判断
• 外部の専門家に調査を依頼する判断
• 警察に被害届を提出する判断
• 取引先や顧客に情報漏えいを公表する判断
• 個人情報保護委員会へ報告する判断

例えば、「レベル2以上のインシデントは、IT部門長が経営層に報告し、経営層の判断でシステム停止を決定する」といったルールを設けます。これにより、現場担当者が責任を一人で背負い込む事態を避けられます。

実際に使えるフロー図の作成

最後に、これまで定義した内容をフロー図(フローチャート)として視覚化しましょう。文章だけのマニュアルより、フロー図の方が緊急時に素早く理解できます。

フロー図作成時のポイントは以下の通りです。

• シンプルな構造：複雑な分岐を避け、基本的な流れだけを示す
• 判断ポイントを明示：「YES/NO」で次の行動が分かるようにする
• 連絡先を併記：各ステップで連絡すべき相手を記載
• 紙とデータ両方で保管：システムダウン時でも参照できるよう紙で印刷

PowerPointやExcel、専用のフローチャート作成ツール(Lucidchart、draw.ioなど)を使えば、比較的簡単にフロー図を作成できます。完璧を目指さず、まずは基本的な流れを作り、運用しながら改善していく姿勢が大切です。

インシデント対応フロー運用時の注意点

定期的な訓練と見直し

インシデント対応フローは、**「作って終わり」ではなく「使えるように維持する」**ことが重要です。そのために、定期的な訓練と見直しを実施しましょう。

推奨される訓練方法は以下の通りです。

• 年1回の模擬訓練：「マルウェア感染が発生した」というシナリオで実際に動いてみる
• 卓上訓練：会議室に関係者を集め、「この状況でどう動くか」を議論する
• 抜き打ちテスト：予告なしに訓練を実施し、本当に対応できるか確認する

訓練を通じて、フローの不備や連絡先の更新漏れが発覚することがよくあります。例えば、「外部ベンダーの担当者が異動していて連絡がつかなかった」「フローに記載された手順が現在のシステム構成と合っていない」といった問題です。

また、新しい脅威(ゼロデイ攻撃、サプライチェーン攻撃など)に対応するため、最低でも年1回はフローの内容を見直すことが推奨されます。

外部連携先の事前確保

中小企業では、自社だけで全てのインシデントに対応するのは困難です。そのため、事前に外部の専門家と連携体制を構築しておくことが重要です。

連携すべき外部機関・サービスの例を以下に示します。

• セキュリティベンダー：平時から契約し、緊急時の対応を依頼できる体制を整える
• JPCERT/CC：国内のセキュリティインシデント対応の調整機関。重大事案では相談・報告を検討
• IPA(情報処理推進機構)：中小企業向けの相談窓口「情報セキュリティ安心相談窓口」を提供
• 警察のサイバー犯罪相談窓口：被害届の提出方法や初動対応についてアドバイスを受けられる
• フォレンジック調査会社：証拠保全や被害範囲の特定を専門的に行う

特にセキュリティベンダーとは、平時から関係を構築しておくことが重要です。インシデント発生後に初めて連絡しても、すぐに対応してもらえない可能性があります。

よくある失敗パターン

最後に、インシデント対応フローの運用でよくある失敗パターンを紹介します。

複雑すぎて使えない

あらゆる事態を想定して詳細なフローを作った結果、数十ページのマニュアルになってしまうケースです。緊急時に読む余裕はなく、結局誰も使わないフローになってしまいます。まずはシンプルな基本フローから始めることが大切です。

更新されず古い情報のまま

担当者の異動や外部ベンダーの変更があっても、フローの連絡先が更新されないケースです。いざというときに「この電話番号は使われていません」となり、初動が遅れます。定期的な見直しサイクルを設けることで防げます。

訓練を実施せず形骸化

フローを作成しただけで安心し、実際に使ってみる訓練を行わないケースです。いざ本番で使おうとすると、「この手順では実際には動けない」と気づくことになります。年1回は必ず訓練を実施することが重要です。

経営層の理解が不足

IT部門だけでフローを作成し、経営層が内容を把握していないケースです。重大なインシデント時には経営判断が必要になるため、経営層もフローの内容を理解し、訓練に参加することが求められます。

まとめ

この記事では、インシデント対応フローの作成方法について解説しました。重要なポイントは以下の3つです。

• 事前準備が被害を最小化する：インシデント対応フローがあることで、初動の遅れを防ぎ、混乱を最小限に抑えられます
• シンプルで実践的なフローを作る：完璧を目指さず、まずは基本的な対応手順を整備し、運用しながら改善していくことが大切です
• 訓練と見直しで「使える」状態を維持：作成して終わりではなく、定期的な訓練と見直しを通じて、実際に機能するフローに育てていきましょう

次のステップとしては、まず自社で想定されるインシデントを洗い出し、基本的な対応フローを作成することをおすすめします。自社だけでの作成が難しい場合や、より専門的なアドバイスが必要な場合は、セキュリティの専門家に相談することも検討してください。