【連載第9回】インシデント対応の基本手順 ― 「やられた」ときに何をすべきか
どれだけ対策をしても、サイバー攻撃を100%防ぐことはできません。重要なのは「攻撃を受けた後にどれだけ早く適切に対応できるか」です。
インシデント対応の4フェーズ
フェーズ1: 検知・判断(最初の30分)
やること:
- 何が起きたのかを可能な範囲で把握する
- 影響範囲を推定する(どのシステム、何台の端末、何人のユーザーに影響か)
- インシデントの重大度を判断する
判断基準の例:
- 重大: ランサムウェア感染、個人情報の外部流出、基幹システムの停止
- 中程度: 1台の端末のマルウェア感染、フィッシングによる1アカウントの侵害
- 軽微: 不審なログイン試行(成功していない)
フェーズ2: 封じ込め(最初の数時間)
やること:
- 感染端末をネットワークから隔離(LANケーブルを抜く、Wi-Fiを切断する)
- 侵害されたアカウントのパスワードをリセットし、セッションを無効化する
- 影響が拡大しないよう、必要に応じてシステムを一時停止する
やってはいけないこと:
- 感染端末の電源を切る(フォレンジック調査ができなくなる)
- 自力で復旧を試みてログを消してしまう
- 事態を隠そうとする
フェーズ3: 復旧
やること:
- バックアップからのデータ復旧
- クリーンな環境での端末再セットアップ
- 全アカウントのパスワード変更(必要に応じて)
- セキュリティ設定の見直し・強化
フェーズ4: 報告・再発防止
やること:
- 経営層への報告
- 必要に応じて関係機関への届出(警察、IPA、個人情報保護委員会)
- 顧客・取引先への通知(個人情報漏洩の場合)
- 原因分析と再発防止策の策定
インシデント対応チェックシート
事前に以下を整理しておくと、いざというときにパニックにならずに対応できます。
- 緊急連絡先一覧(経営者、顧問弁護士、セキュリティベンダー、保険会社)
- システム構成図(どのサーバーに何のデータがあるか)
- バックアップの場所とリストア手順
- 過去のインシデント記録
次回(最終回)は、セキュリティ体制の継続的な改善方法を解説します。
← 前回: 【連載第8回】クラウドセキュリティ | 次回: 【連載第10回】セキュリティ体制の継続改善 →
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。