【連載第8回】いざという時に!インシデント対応と初動マニュアル
「ランサムウェアに感染したらどうすればいい?」「情報漏洩が発覚したら最初に何をすべき?」
こうした質問に即座に答えられる中小企業は多くありません。しかし、インシデントは予告なく発生します。事前に対応手順を決めておくことが、被害を最小限に抑える鍵です。
第8回では、中小企業が備えるべきインシデント対応の基本と、初動マニュアルの作り方を解説します。
インシデント対応の4フェーズ
フェーズ1:検知と初動対応
最も重要なのは初動です。以下を迅速に実行します。
- ネットワーク遮断: 感染が疑われるPCをネットワークから切り離す(LANケーブルを抜く、Wi-Fiを切る)
- 証拠保全: PCの電源は切らない(メモリ上の証拠が消える)。画面の写真を撮る
- 報告: 情報セキュリティ責任者に即座に報告
フェーズ2:被害状況の把握
- どの端末が影響を受けたか
- どの情報が漏洩した可能性があるか
- いつから攻撃が始まっていたか
- 影響範囲はどこまで及ぶか
フェーズ3:復旧
- バックアップからのデータ復旧
- 感染端末のクリーンインストール
- パスワードの一斉変更
- セキュリティパッチの適用
フェーズ4:再発防止
- 原因の特定と分析
- 対策の実施
- 関連規程の見直し
- 従業員への教育・周知
中小企業のインシデント対応体制
大企業のようなCSIRT(Computer Security Incident Response Team)を構築する必要はありません。最小限の体制として、以下を決めておきましょう。
- 第一報の連絡先: 「何かおかしいと思ったらこの人に連絡」を全社員に周知
- 意思決定者: ネットワーク遮断や業務停止の判断を誰がするか
- 外部連絡先: セキュリティベンダー、警察、弁護士の連絡先リスト
外部への報告が必要なケース
- 個人情報保護委員会: 個人情報漏洩が発生した場合(速報3〜5日以内)
- 警察: サイバー犯罪の被害を受けた場合
- IPA: ウイルス・不正アクセスの届出
- 取引先: 取引先の情報が含まれる場合
まとめ
インシデント対応は「起きてから考える」では遅すぎます。対応手順を事前に整備し、年1回は模擬訓練(卓上演習)を実施することで、いざという時に冷静に対処できます。
次回は、セキュリティ対策を継続的に改善するための「点検・監査とPDCAサイクル」について解説します。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。