本文へスキップ
スキルアップカレッジ

インシデント対応の基本——気づき・報告・対応

レッスン7:インシデント対応の基本——気づき・報告・対応

このレッスンで学ぶこと

  • インシデント(情報セキュリティ事故)の定義と種類を整理する
  • CSIRT と SOC の役割の違いを理解する
  • インシデント対応の 6 段階(準備・特定・封じ込め・根絶・復旧・教訓)を把握する
  • 「気づいたらすぐ報告する」文化の重要性を理解する
  • ログとフォレンジックの基本的な役割を知る
  • 「隠さない」「責めない」原則の効果を意識する

前のレッスンでは、データ保護と個人情報のルールを扱いました。本レッスンは、それでも起きてしまうインシデントへの対応——気づき・報告・対応・復旧——を、CSIRT の現場感覚を踏まえて整理します。「100% の防御はない」前提で、インシデント発生後にどれだけ被害を抑えられるかが、組織の真の防御力です。

インシデントとは何か

情報セキュリティの世界で「インシデント」は、情報資産に対する脅威が現実化した事象を広く指します。

インシデントの典型例

  • マルウェアに感染した
  • フィッシングメールに引っかかった
  • USB メモリを紛失した
  • 機密情報を誤送信した
  • システムが不正アクセスを受けた
  • 内部社員がデータを持ち出した
  • ランサムウェアでデータが暗号化された
  • システムが停止して業務に影響が出た

「インシデント」と「事故」「事件」「脅威」

用語の使い分けは組織で異なりますが、一般的には次のように整理されます。

用語 範囲
脅威 起こり得る可能性(まだ起きていない)
インシデント 実際に発生した事象(軽微〜重大すべて含む)
事件 重大なインシデント、社会的影響があるもの

本コースでは「インシデント」を、軽微な誤送信から重大な不正侵入まで広く含む言葉として使います。

💡 ポイント 「インシデント」と聞くと「大きな事件」を連想する方が多いかもしれません。実際は「フィッシングメールを開いてしまった」「不審な通信に気づいた」といった、結果的に被害が出なかった事象も含みます。早期に小さな兆候を捉えることが、大事故を防ぐ第一歩です。

CSIRT と SOC

組織のインシデント対応を担う代表的な体制が、CSIRT と SOC です。

CSIRT(Computer Security Incident Response Team)

  • インシデント対応の専門チーム
  • 発生時の調査・封じ込め・復旧・教訓共有を主担当
  • 平時はインシデント対応訓練、手順書整備、関係部門との調整
  • 規模により外部委託や仮想チームの形を取ることも

SOC(Security Operations Center)

  • セキュリティ監視の専門組織
  • ログ・アラートの 24 時間 365 日監視
  • インシデントの早期検知が主目的
  • 検知後、CSIRT に引き継ぐ

CSIRT と SOC の関係

組織の規模・成熟度によって関係は異なります。

  • 小規模組織:CSIRT も SOC も持たず、IT 部門が兼務
  • 中規模組織:CSIRT のみ、または外部 SOC を契約
  • 大規模組織:CSIRT と SOC を社内で両方持つ

CSIRT と SOC が連携するパターンが、現代的な体制です。SOC が監視で発見し、CSIRT が対応する分業です。

全社員との関係

CSIRT・SOC は専門組織ですが、その活動の前提は「全社員からの報告」です。技術的な検知(ログ・SIEM・EDR など)で気づける事象は一部に過ぎず、現場社員からの「これおかしくないか?」の報告が、インシデント発見の重要なチャネルです。

📝 補足 「うちの会社には CSIRT がない」という方も多いはずです。明示的な CSIRT がなくても、誰がインシデント発生時の連絡先かを知っておくことが大切です。情シス、総務、社外の契約セキュリティ会社、いずれかが対応窓口になります。

インシデント対応の 6 段階

業界で広く参照される、インシデント対応の標準的な 6 段階を整理します(NIST SP 800-61 などのフレームワークが基)。

flowchart LR
  P[① 準備] --> I[② 特定]
  I --> C[③ 封じ込め]
  C --> E[④ 根絶]
  E --> R[⑤ 復旧]
  R --> L[⑥ 教訓・改善]
  L -.-> P

① 準備(Preparation)

  • インシデント対応体制の整備
  • 手順書、連絡先リスト
  • ログ収集の基盤
  • 訓練
  • バックアップ
  • 外部委託先との契約

「準備の質」が、その後の 5 段階の成否を決めます。インシデントが起きてから準備を始めるのでは遅すぎます。

② 特定(Identification)

  • 兆候の検知
  • 「これはインシデントか」の判定
  • 影響範囲の初期評価
  • 関係者への第一報

ここで「これは大したことない」と判断を誤ると、対応が遅れます。「疑わしきは特定」の姿勢が安全側です。

③ 封じ込め(Containment)

  • 被害拡大の停止
  • 感染端末の隔離
  • アカウントの停止
  • ネットワーク切断

「封じ込めを優先しすぎて業務が止まる」のと「封じ込めが遅れて被害が拡大する」のトレードオフを、状況に応じて判断します。

④ 根絶(Eradication)

  • マルウェアの除去
  • 不正アクセスの遮断
  • 脆弱性の修正
  • 攻撃者のアクセス経路の閉鎖

「症状」を消すだけでなく、「根本原因」を取り除くのがこの段階です。

⑤ 復旧(Recovery)

  • システムの再稼働
  • 業務の再開
  • 監視の強化(再侵入の検知)
  • 段階的な復旧と検証

「急いで全部戻す」のではなく、段階的に戻して安全を確認しながら進めます。

⑥ 教訓・改善(Lessons Learned)

  • 事後の振り返り
  • 何が機能した、何が不十分だったか
  • 手順書・体制の見直し
  • 全社への教訓共有

ここを軽視すると、同じインシデントを繰り返します。最も価値ある段階の 1 つです。

⚠️ 注意 「対応が終わって落ち着いた」段階で振り返りを後回しにすると、教訓が組織に残りません。インシデント対応の経験こそ、最も価値ある学習機会です。

報告の重要性

CSIRT 経験者がいつも繰り返すことがあります。「インシデント対応で最も大切なのは、報告のスピード」です。

なぜ早い報告が重要か

  • 被害拡大を止められる
  • 証拠(ログ・メモリ・通信履歴)が新鮮なうちに取れる
  • ほかの被害発生を予測・防止できる
  • 法令上の報告義務に間に合う

「報告したら怒られる」を恐れない文化

多くの組織で、報告が遅れる最大の理由は「報告したら怒られる」恐れです。

  • 「自分のミスがバレる」
  • 「責任を負わされる」
  • 「評価が下がる」
  • 「同僚に迷惑がかかる」

これらの不安はわかりますが、報告の遅れは組織にとってさらに大きな損失です。

「責めない」原則

ベストプラクティスは「報告したことを称賛する」「ミスを責めない」原則です。

  • 報告した社員を表彰する文化
  • 「失敗から学ぶ」インシデント振り返り
  • 個人を犯人にせず、仕組みで再発を防ぐ
  • インシデント対応訓練を全社員が経験

💡 ポイント 「責めない」は「責任を取らない」ではありません。組織として責任を持って改善する一方、個人を犯人扱いしない、という運用です。これが文化として根付くと、報告のスピードが圧倒的に上がります。

ログとフォレンジック

インシデントの調査と再発防止に不可欠なのが、ログとフォレンジックです。

ログの種類

  • アクセスログ:誰が、いつ、何にアクセスしたか
  • 認証ログ:ログイン成功・失敗の記録
  • システムログ:OS・アプリケーションの動作記録
  • ネットワークログ:通信の発信元・送信先・量
  • メールログ:送受信の記録
  • クラウドサービスのログ:操作履歴

ログの保管

  • 法令上の義務(業種により異なる)
  • 一般的には 1〜3 年以上
  • 改ざんを防ぐため、ログサーバーに集約し書き込み専用にする
  • バックアップで複数経路保管

フォレンジック

フォレンジック(Forensics)は、インシデントの証拠を保全・分析する技術です。

  • 感染端末のメモリダンプ
  • ハードディスクのビットイメージコピー
  • 通信パケットのキャプチャ
  • 改ざんされていない状態での記録

フォレンジックは専門技術なので、組織内で対応が難しい場合は外部の専門会社(マンディアント、PwC、トレンドマイクロなど)に委託することが多いです。

📝 補足 「証拠保全」を急いで実行しないと、攻撃者が証拠を消してしまったり、対応の中で証拠が上書きされたりします。インシデントが疑われた時点で、まず「ログを保全する」のが、対応の第一歩です。

講師の現場メモ:「報告が早かったから救われた話」

私(関口)が CSIRT リーダーだった頃の出来事です。火曜の夜 7 時、私が帰宅準備をしていた頃に、新入社員の田中さん(仮名)から内線がありました。

「あの……お時間少しよろしいですか。確認したいことがあって」

田中さんは入社 3 か月目で、その日の午後にメールを受信しました。「請求書のご確認をお願いします」と書かれた添付ファイル付きのメールでした。送信元は取引先らしいアドレスで、業務内容も自然でした。

田中さんは添付ファイルを開きました。Excel が起動し、「マクロを有効にしてください」と表示されました。研修で「不審なマクロは有効にしない」と習っていたので、田中さんはそこで止めて Excel を閉じました。

ただ、その後 3 時間ほど経って、PC の動作が少し遅い気がしました。「気のせいかもしれないが、研修で『気づいたら報告』と言われていたので、念のため……」というのが、田中さんの内線の用件でした。

私は即座に「PC をネットワークから切り離してください、ケーブルを抜くだけで大丈夫です」と指示しました。田中さんはすぐに対応してくれました。

その後の調査でわかったのは、

  • メールは Emotet 系のマルウェア配布
  • マクロを有効化しなかったため、Excel 内のマルウェアは実行されなかった
  • しかし、メール本文の「外部 URL」を Outlook の機能でプレビューした際に、別の悪意あるスクリプトが動作する仕組みになっていた
  • スクリプトは Outlook 経由でアクセス可能な範囲を偵察し、後の侵入準備をしていた
  • 田中さんの PC の動作が遅かったのは、このスクリプトの動作の影響

幸い、田中さんが早期に報告したため、ネットワーク切断と PC 隔離で被害は田中さんの 1 台に留まりました。マルウェアの拡散経路を分析し、組織全体の防御を強化しました。

私は田中さんに、「報告してくれてありがとう」「これは大きな貢献だ」と何度も伝えました。田中さんは恐縮しながら「ご迷惑をおかけして」と繰り返しましたが、迷惑どころか組織を救ったヒーローでした。

この事案を社内で共有する際、私は田中さんの名前を伏せた上で、「気づいて報告した社員のおかげで、組織全体の被害を防げた」と発信しました。社内では「報告した人が悪いとは思わない、むしろ早期報告が組織を守る」という認識が広がっていきました。

このときに学んだのが、「責めない文化」が組織のセキュリティの腰になるということです。田中さんが「怒られるかも」と報告を躊躇していたら、被害は数十台・数百台に拡大していた可能性がありました。本コースで「気づき・報告」「責めない文化」を繰り返し強調するのは、この夜の内線の記憶があるからです。

まとめ

このレッスンでは、以下のことを学びました。

  • インシデントは情報資産への脅威が現実化した事象で、軽微〜重大まで広く含む
  • CSIRT は対応専門チーム、SOC は監視専門組織。両者が連携するのが現代的体制
  • インシデント対応の 6 段階:準備・特定・封じ込め・根絶・復旧・教訓
  • 「準備の質」がその後の対応の成否を決める
  • 報告のスピードが被害拡大防止と証拠保全の鍵
  • 「責めない」原則と「報告を称賛する」文化が、報告速度を上げる
  • ログは 1〜3 年以上保管し、改ざん防止のため集約・書き込み専用化
  • フォレンジックは専門技術。社内対応が難しい場合は外部委託も視野に
  • 全社員からの「これおかしくない?」の報告が、組織を救う

次のレッスンでは、本コースの最終回として、テレワーク・SaaS・BYOD・生成 AI・サプライチェーンなど 2026 年時点の論点と、コース修了後の学習方向を扱います。

確認クイズ

このレッスンの理解度をチェックしましょう。