セキュリティインシデントは、予告なく起きます。
しかも多くの中小企業では、専任のセキュリティ担当者がいないまま、情報システム担当者や総務・経営層が兼務で対応しなければならないのが現実です。
問題は「知識があるかどうか」だけではありません。
「何をどの順番でやるか」が頭に入っているかどうかが、被害の大小を分けます。
インシデント発生直後は誰でも焦ります。
そのときに「手順が体に入っている」かどうかが、冷静な判断につながります。
この記事では、セキュリティインシデントが発生してから24時間以内にやるべき初動対応を5つのステップで解説します。
専任チームがいない中小企業の情報システム担当者でも、この手順があれば迷わず動けます。
関連記事
セキュリティインシデントの初動でよくある失敗パターン
初動対応の手順に入る前に、中小企業でよく起きる「初動の失敗」を確認しておきましょう。
自社に当てはまるものがないか、チェックしながら読んでみてください。
失敗パターン①「様子見」で時間を使ってしまう
「誤検知かもしれない」「大げさに騒ぎたくない」という心理から、確認作業に時間をかけすぎるケースです。
インシデントは初動の数時間で被害範囲が急拡大することがあります。
「確証が持ててから動く」では遅い場面がほとんどです。疑わしい段階で動き始めることが原則です。
失敗パターン② 担当者一人が抱え込んでしまう
兼任担当者が「自分で解決しなければ」と一人で動き続け、経営層や関係部門への共有が遅れるパターンです。
初動対応は情報共有と並走して進めるものです。
担当者一人の判断・作業には限界があり、報告の遅れが後の対応コストを大きく引き上げます。
失敗パターン③ 証拠を消してしまう
「とにかく早く復旧したい」という焦りから、感染端末を再起動したりシステムをリセットしたりしてしまうケースです。
再起動だけでログが失われ、原因究明も再発防止もできなくなります。
復旧を急ぐ前に、記録・保全が先です。
代表的なインシデント4種類と初動の違いを知っておく
セキュリティインシデントといっても、その種類によって最初にやるべきことは異なります。
「とにかく5ステップを回す」前に、自分が直面しているインシデントがどのタイプかを把握しておくと、初動の判断が格段にスムーズになります。
中小企業で特に発生しやすい4つのパターンを整理します。
1:ランサムウェア感染
ファイルが突然開けなくなる、身代金要求の画面が表示されるといった症状が典型です。
感染が疑われた時点で該当端末をネットワークから即時切り離すことが最優先です。
再起動はログが消えるリスクがあるため原則NGです。
社内ネットワーク全体への拡散を防ぐことが最初のゴールになります。
2:情報漏えい・不正な外部送信
顧客データや社内情報が外部に送られた可能性がある状態です。
何のデータが・どこに・どれだけ漏えいしたかの把握が初動の核心になります。
漏えいが確認・濃厚な場合は、影響を受けた顧客や取引先への通知タイミングも早期に検討が必要です。
3:不正アクセス・アカウント侵害
身に覚えのないログイン履歴、パスワード変更通知、アカウントのロックアウトなどが兆候です。
該当アカウントの即時停止・パスワードリセットが最初のアクションです。
多要素認証が未導入の場合は、被害拡大のリスクが高いため、関連するすべてのアカウントを確認します。
4:Webサイト改ざん
自社サイトに身に覚えのないコンテンツが表示される、外部から指摘を受けるといったケースです。
まずサイトを一時的に非公開にし、改ざんの範囲とバックドアの有無を確認します。
改ざんされたまま放置すると、訪問者への被害拡大や検索エンジンからのペナルティにもつながります。
関連記事
最初の24時間:初動対応5ステップ
ステップ1:被害範囲の把握と初期判断
まず最初にやるべきことは、「何が起きているのか」を可能な範囲で把握することです。
焦って動き始める前に、被害の有無と範囲を確認することが、その後の対応の質を大きく左右します。
確認すべき主な観点は以下です。
- どの端末・サーバー・サービスに異常があるか
- 異常は社内にとどまっているか、外部にも影響が及んでいるか
- データの漏えい・改ざん・暗号化の可能性はあるか
- いつから異常が始まっていたか(ログで遡れるか)
状況を把握したうえで、ネットワーク遮断やシステム停止が必要かを判断します。
ただし、システムを止めることで証拠となるログが失われるリスクもあります。
「遮断して被害拡大を防ぐ」と「記録を残す」のバランスを意識しながら判断してください。
判断に迷った場合は一人で抱え込まず、次のステップの社内連絡と並走して進めることが重要です。
関連記事
ステップ2:社内緊急連絡体制の稼働
被害の概要がつかめたら、すぐに社内の関係者へ共有します。
「もう少し確認してから報告しよう」と考えて連絡を遅らせることが、初動の大きな失敗につながります。
初期段階では「起きた可能性がある」レベルの情報共有で構いません。
連絡すべき主な関係者は以下です。
- 情報システム部門・責任者
- 経営層(インシデントの重大性に応じて即時判断)
- 広報・法務・総務など関連部門
兼任担当者が一人で判断・対応を抱え込むと、判断ミスや報告漏れが起きやすくなります。
あらかじめ「この兆候が見えたらこの部門に連絡する」というルールを決めておくことが理想ですが、ルールがない場合でも、まず経営層と情報共有することを優先してください。
ステップ3:証拠保全と対応記録の開始
初動対応と並行して、必ず証拠保全と記録を始めてください。
これは原因特定や再発防止のためだけでなく、外部への報告・保険対応・法的対応にも必要になります。
具体的に行うべきことは以下です。
- システムログの取得・バックアップ
- 異常画面のスクリーンショット
- 対応経過の記録(日時・担当者・対応内容)
クラウドサービスを利用している場合は、ログの保持期間が短いことがあります。
気づいた時点でできるだけ早くログを保存してください。
また「記録する余裕がない」と感じる場面でも、メモ・口頭記録・スマートフォンでの撮影など、手段を問わず残すことを優先してください。
後から「何をいつやったか」が追えない状態は、対応後の検証を著しく困難にします。
関連記事
ステップ4:外部機関・関係者への連絡
インシデントの影響が外部に及ぶ可能性がある場合は、関係者への連絡が不可欠です。
「自社内で収まっているか確認してから」と後回しにしがちですが、連絡が遅れるほど信頼の毀損につながります。
連絡先の主な候補は以下です。
- 顧客・取引先(情報漏えいの可能性がある場合)
- 委託先やクラウドベンダー
- 公的機関(IPA、JPCERT/CC)
- 警察・都道府県警のサイバー犯罪相談窓口
※不正アクセス・ランサムウェア等、刑事事件に該当する可能性がある場合
自社だけでは判断が難しい場合は、外部のセキュリティ支援会社や専門家への相談も選択肢に入れてください。
「第三者の助言を得ながら対応した」という事実は、事後的に企業の誠実な対応姿勢を示す材料にもなります。
関連記事
ステップ5:一次対応の振り返りと仕組み化
一次対応が落ち着いたあとこそ、最も重要なタイミングです。
被害が小さかった場合も「偶然助かっただけ」である可能性があります。
一度のインシデントを学びに変えることが、組織のセキュリティレベルを底上げします。
振り返りで確認すべき観点は以下です。
- 初動の対応は適切だったか
- 判断が遅れた・迷った場面はどこか
- 連絡・記録・保全のどこかに抜け漏れはなかったか
- 対応フローやマニュアルとして整備すべきことは何か
振り返りの結果は、必ず文書化してください。
担当者の記憶に頼るだけでは、次のインシデント時に同じ失敗が繰り返されます。
一人対応 vs 複数人分担:体制別の動き方
初動対応の5ステップは、複数人で役割分担できる環境であれば並走して進められます。
しかし中小企業では「情報システム担当者が実質一人」というケースも珍しくありません。
体制によって動き方を変える必要があります。
一人で対応する場合
一人対応では「全部を同時にやろうとしない」ことが重要です。
優先順位は以下の順で考えてください。
- 被害拡大の阻止(遮断・停止の判断)
- 経営層への第一報
- 証拠保全・記録の開始
- 外部機関への連絡
一人の場合、判断のすべてが自分に集中します。
「これで合っているか」と迷い続けることが最大のリスクです。
完璧な判断より、決めて動いて記録するサイクルを回すことを優先してください。
また早い段階で経営層を巻き込むことで、判断の責任を分散させることができます。
複数人で分担する場合
複数人で動ける環境であれば、役割を明確に分けることで対応速度が上がります。
おおまかな役割分担の例は以下です。
- 技術対応担当:被害範囲の確認・証拠保全・システム対応
- 連絡担当:社内関係者・外部機関・顧客への連絡
- 記録担当:対応経過・判断内容・時系列の記録
ただし、分担する場合も情報を一元管理する窓口を一人決めることが重要です。
それぞれが別々に動いて情報が分散すると、全体像の把握が遅れ、対応の抜け漏れが生じます。
時系列で整理|今すぐ使える初動対応チェックリスト
以下のチェックリストは、インシデント発生後の24時間を3つのフェーズに分けて整理しています。
保存して、いざというときにすぐ使える状態にしておくことをおすすめします。
0〜1時間:最初にやること
初動の1時間は、被害拡大を防ぐことに集中します。
□ 異常を検知した端末・システムを特定した
□ ネットワーク遮断・システム停止の要否を判断した
□ 経営層・責任者へ第一報を入れた
□ 異常画面・エラーメッセージのスクリーンショットを取得した
□ 対応記録(日時・担当者・対応内容)を開始した
□ ログの取得・バックアップを開始した
1〜6時間:状況把握と連絡
被害範囲の把握と、関係者への連絡を並走して進めます。
□ 被害の範囲(端末・データ・外部への影響)を確認した
□ 社内の関係部門(広報・法務・総務等)へ共有した
□ インシデントの種類(ランサムウェア・情報漏えい等)を暫定的に判断した
□ 委託先・クラウドベンダーへ連絡の要否を判断した
□ IPAまたはJPCERT/CCへの相談要否を判断した
□ 警察・サイバー犯罪相談窓口への届け出要否を判断した
□ 顧客・取引先への通知タイミングを検討した
6〜24時間:対応の継続と記録
一次対応を継続しながら、記録と外部対応を進めます。
□ 対応経過の記録を継続・整理している
□ 外部専門家・セキュリティ支援会社への相談要否を判断した
□ 顧客・取引先への通知を実施した(必要な場合)
□ システム復旧の方針・優先順位を決定した
□ 再発防止に向けた振り返りのスケジュールを決めた
□ 対応記録を経営層と共有した
関連記事
まとめ
セキュリティインシデントへの対応は、スピードと冷静さの両立が求められます。
しかし「冷静に動ける」のは、事前に手順を知っているからこそです。
この記事で紹介した5つのステップとチェックリストを、ぜひ今のうちに社内で共有・保存しておいてください。
インシデントが起きてから手順を調べるのでは、対応が後手に回ります。
「うちの体制で実際にどう動けばいいか」「初動対応のマニュアルを整備したい」とお考えの方は、ぜひSynplanningにご相談ください。
中小企業の実情に合わせた初動対応体制の構築・マニュアル作成を支援しています。
