🚨 今まさにインシデントが発生している方へ:まず感染端末をネットワークから物理的に切り離し、電源は入れたまま、証拠保全のため何も操作しないでください。その後、組織の緊急連絡先(CSIRT/IT担当)に連絡し、専門家の指示を仰いでください。
サイバーインシデント対応プレイブック2026:組織規模別の実践手順
NIST SP 800-61によれば、インシデント対応は①準備→②検知・分析→③封じ込め・根絶・復旧→④事後活動の4フェーズで構成されます。本ガイドでは、中小企業でも明日から実践できる形で各フェーズの具体的な手順を解説します。重要なのは「インシデントが起きてから考える」のではなく、平時に手順書を整備し、演練しておくことです。
📊 統計:インシデント対応計画(IRP)を持つ組織は、未整備の組織に比べてインシデント発生後の復旧時間が平均38%短く、被害額も54%低い傾向があります(IBM Cost of a Data Breach Report 2026)。
フェーズ1:準備(最も重要)
インシデント対応計画(IRP)の策定
有効なIRPには以下の要素が含まれている必要があります。
- インシデント定義と分類基準:何をもってインシデントとみなすかの明確な定義(Severity 1〜4等)
- 連絡体制と責任分担:平日・休日・夜間それぞれの第一連絡先と代理の明示
- 外部連絡先リスト:IPA(J-CSIRT)、警察庁サイバー犯罪相談窓口、フォレンジック専門業者、顧問弁護士、サイバー保険会社の連絡先
- コミュニケーション手順:インシデント発生時のインターナル通知と対外公表の判断基準
- 証拠保全手順:ログの収集・保存方法、デジタルフォレンジックの基本手順
CSIRTの設立
予算・人材が限られる中小企業でも、最低限「誰が何をするか」を事前に決めておくだけで有事の対応速度は劇的に向上します。5名以上のメンバーで構成し、技術担当・経営連絡担当・法務・広報のロールを割り当てることを推奨します。
フェーズ2:検知と分析
インシデントの兆候と初期トリアージ
以下のような異常が検知された場合、即座にCSIRT(または担当者)に報告してください。
- 業務端末が突然暗号化され、身代金要求メッセージが表示される
- 通常業務では発生しないネットワーク通信量の急増
- アカウントへの大量のログイン試行通知
- EDR・ウイルス対策ソフトによる重大アラート
- 取引先から「あなたの会社を名乗る不審メールが届いた」という連絡
- 業務システムへのアクセスができない・動作が著しく遅い
フェーズ3:封じ込め・根絶・復旧(「72時間ルール」)
最初の1時間でやること
-
1
感染端末・サーバーの隔離
ランサムウェアの場合、ネットワークケーブルを抜くかWi-Fiをオフにして横展開を防ぎます。電源は入れたまま(ログが消えるため)。
-
2
CSIRT・IT責任者・経営層への報告
発見者は観察した事実のみを簡潔に報告。推測は含めない。「○時○分頃、△△の端末が暗号化されているのを発見した」という形式で。
-
3
ログの緊急保全
ファイアウォール、認証サーバー、EDRのログを外部ストレージにコピー。証拠の完全性のためにハッシュ値を記録する。
-
4
バックアップの健全性確認
バックアップも暗号化されていないかを確認。オフラインバックアップが存在する場合は最高の切り札になります。
報告義務の確認(法的タイムライン)
| 報告先 | 期限 | 対象 |
|---|---|---|
| 個人情報保護委員会 | 72時間以内(速報)/ 30日以内(詳細) | 個人情報漏洩の可能性 |
| 警察(サイバー犯罪窓口) | 速やかに | 不正アクセス・恐喝等の刑事事案 |
| NISC(重要インフラ事業者) | 速やかに | 重要インフラ事業者 |
| 主管省庁 | 事案による | 業種に応じて(医療・金融等) |
| 取引先・顧客 | 事案による | 影響ある相手への通知義務確認 |
フェーズ4:事後活動(再発防止)
復旧完了後、必ず「ポストモーテム(事後分析)」を実施してください。感情論ではなく、「何が起きたか」「なぜ起きたか」「今後どう防ぐか」を分析する blame-free culture が重要です。
✅ ポストモーテムの5つの問い:①何が起きたか(タイムライン)→②何が問題だったか(技術・プロセス)→③なぜそれが問題になったか(根本原因)→④何がうまくいったか→⑤再発防止のために何を変えるか