【LYST】インシデント対応とは?サイバー攻撃を受けたとき中小企業が最初にすべきことサムネイル画像

インシデント対応とは?サイバー攻撃を受けたとき中小企業が最初にすべきこと

【LYST】株式会社LYST

サイバー攻撃への対策というと、「侵入されないための防御」や「バックアップの取得」に目が向きがちです。しかし、どれだけ対策をしていても、インシデントを完全にゼロにすることはできません。

もし、今この瞬間に自社のパソコンが動かなくなったり、「データを暗号化した。身代金を支払え」という画面が表示されたりしたら、あなたは的確に動けますか。

重要なのは、万が一被害が発生したときに、慌てず、被害を広げず、必要な関係者へ正しく連絡し、復旧まで進められる体制を持っているかどうかです。

以前、バックアップに関するコラムで、ランサムウェア攻撃ではサーバーや共有フォルダだけでなく、バックアップ装置まで狙われることがあると解説しました。実際に攻撃者は、社内ネットワーク上のバックアップ先や共有フォルダを探し、復旧手段そのものを無力化しようとします。

本コラムでは、サイバー攻撃や情報漏えいが発生したときに、中小企業が最初に何をすべきか、どのような準備をしておくべきかを解説します。


(参考)バックアップがあっても安心できない?|破壊されるバックアップと対策の考え方

 

 インシデント対応とは何か 

 

そもそも「インシデント(Incident)」とは、英語で「出来事」や「事例」を意味しますが、IT・セキュリティの文脈では「コンピュータの運用や業務の継続に支障をきたす、セキュリティ上の脅威や事故」を指します。

そして、インシデント対応とは、情報漏えい、ウイルス感染、ランサムウェア感染、不正アクセス、システム停止などの問題が発生した際に、被害を最小限に抑え、原因を調査し、復旧と再発防止まで行う一連の対応のことです。

経済産業省は、中小企業向けのインシデント対応について、主に「検知・初動対応」「報告・公表」「復旧・再発防止」の3つの対応が必要だと示しています。

つまり、インシデント対応は、単に「パソコンを直す」「データを戻す」という技術的な作業だけではありません。

たとえば、次のような対応も含まれます。


  ✅社内の誰に連絡するか
  ✅どのシステムを止めるか
  ✅取引先や顧客に報告が必要か
  ✅個人情報保護委員会や警察などへの届出が必要か
  ✅証拠となるログやメールをどう残すか
  ✅復旧作業を誰に依頼するか
  ✅再発防止策をどう社内に定着させるか


中小企業の場合、専任の情報システム部門やCSIRTがないことも多く、いざというときに「誰が判断するのか」が曖昧になりがちです。そのため、平時から最低限の対応手順を決めておくことが大切です。

CSIRT:企業や組織でサイバー攻撃や情報漏えいなどのインシデントが発生した際に、対応を主導する専門チームのことです。被害状況の確認、関係者への連絡、原因調査、復旧、再発防止策の検討などを行います。

 

 最初にやるべきことは「被害を広げないこと」 

 

サイバー攻撃が疑われると、多くの人は「すぐに電源を切る」「ファイルを削除する」「再起動する」といった行動を取りたくなります。しかし、これは注意が必要です。


経済産業省の中小企業向け手引きでも、インシデント発生時には情報セキュリティ責任者や経営者へ速やかに連絡し、ネットワークの遮断、対象機器の隔離、システムやサービスの停止などを行うことが示されています。一方で、対象機器の電源を切るなどの不用意な操作は、記録を消してしまうおそれがあるため注意が必要とされています。


まず意識すべきなのは、原因究明よりも「被害拡大の防止」です。

具体的には、次のような対応が考えられます。

  感染が疑われる端末をネットワークから切り離す
  無線LANやLANケーブルを外し、他の端末への拡大を防ぐ
  ノートPCであれば「Wi-Fiの設定をオフにする(または機内モードにする)
  同じID・パスワードを使っているアカウントを確認する
  共有フォルダ、クラウドストレージ、業務システムへの影響を確認する
  不審なメール、画面表示、ログ、時刻、操作内容を記録する
  社内の責任者、保守会社、セキュリティベンダーへ連絡する

特にランサムウェアの場合、1台の端末だけでなく、サーバー、NAS、クラウドストレージ、バックアップ領域まで被害が広がる可能性があります。以前のバックアップのコラムで解説したように、バックアップ先が常に社内ネットワークに接続されている場合、攻撃者に暗号化・削除されるリスクがあります。


そのため、「とりあえず様子を見る」ではなく、早い段階でネットワークから切り離し、被害範囲を広げない判断が必要です。


(参考)バックアップがあっても安心できない?|破壊されるバックアップと対策の考え方

 

 やってはいけない初動対応 

 

インシデント発生時には、善意の行動がかえって調査や復旧を難しくすることがあります。

特に避けたいのは、次のような対応です。


  ❌感染端末を何度も再起動する
  ❌不審なファイルやメールをすぐに削除する
  ❌エラーメッセージや脅迫文を閉じてしまう
  ❌ログや履歴を確認せずに初期化する
  ❌被害範囲が分からないままバックアップから復元する
  ❌社内確認をしないまま取引先へ断片的な説明をする
  ❌攻撃者からの要求に独断で対応する


もちろん、業務を止めたくないという気持ちは自然です。しかし、原因が分からないまま復旧を急ぐと、同じ攻撃経路から再び侵入されたり、感染した状態のバックアップを戻してしまったりする可能性があります。

インシデント対応では、「早く元に戻す」ことと同じくらい、「何が起きたのかを残す」ことが重要です。

画面のスクリーンショット、表示されたメッセージ、不審なメール、受信日時、添付ファイル名、アクセスログ、操作した人、対応した時刻などを記録しておくことで、専門会社による調査や保険会社への事故報告、取引先への説明がしやすくなります。

 

incident_01

 社内連絡は「誰が判断するか」まで決めておく 

 

インシデント対応で混乱しやすいのが、社内連絡です。

現場担当者は異常に気づいていても、「誰に報告すればよいのか」「どの段階で経営者に伝えるべきか」が分からず、対応が遅れることがあります。

最低限、次のような役割を決めておくとよいでしょう。

発見者 異常を見つけた人。勝手に削除や復旧をせず、決められた窓口へ報告する
一次受付 社内の情報セキュリティ担当者、総務、管理部門など
判断者 経営者または情報セキュリティ責任者
技術対応者 社内IT担当、保守会社、セキュリティベンダー
対外対応者 取引先、顧客、行政機関、保険会社への連絡担当

中小企業では、すべての役割を別々の人が担当することは難しいかもしれません。重要なのは、「誰が最終判断をするのか」「誰が外部に連絡するのか」を曖昧にしないことです。


特に、取引先や顧客への報告は、技術担当者だけで判断するものではありません。被害範囲、法的な報告義務、契約上の通知義務、今後の取引への影響などを踏まえて、経営判断として対応する必要があります。

 

 取引先・顧客・行政機関への報告が必要な場合 

 

インシデントが発生した場合、社内対応だけで完結しないことがあります。

たとえば、次のようなケースでは、外部への報告や相談が必要になる可能性があります。

  ⚠️顧客情報や従業員情報が漏えいした可能性がある
  ⚠️取引先から預かったデータに影響がある
  ⚠️自社の感染が原因で、取引先に不審メールが送られた
  ⚠️業務システムの停止により、顧客サービスに影響が出ている
  ⚠️不正アクセスや金銭被害など、犯罪性が疑われる
  ⚠️契約書や委託契約で、事故発生時の通知義務が定められている


前述の経済産業省の「中小企業のためのセキュリティインシデント対応の手引き」では、インシデント対応後、必要に応じて関係機関へ届け出ることが示されています。具体的には、個人情報の漏えいの場合は個人情報保護委員会、業法などで求められる場合は所管省庁、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAが届出先として挙げられています。

「業法」とは、保険業法、銀行法、建設業法、電気通信事業法など、特定の業種ごとに事業者が守るべきルールを定めた法律のことです。業種によっては、情報漏えいやシステム障害が発生した際に、所管省庁や監督機関への報告が求められる場合があります。


また、個人データの漏えい等が発生し、個人の権利利益を害するおそれがある場合には、個人情報保護委員会への報告および本人への通知が必要です。個人情報保護委員会は、報告が必要な事態として、要配慮個人情報が含まれる場合、財産的被害のおそれがある場合、不正目的による漏えい等、1,000人を超える漏えい等を挙げています。

2022年4月の個人情報保護法改正以降、個人情報の漏洩(またはその恐れ)が発生した場合、個人情報保護委員会への速やかな報告(原則3〜5日以内、確定報告は30日前後以内)と、本人への通知が「完全義務化」されました。


報告の内容やタイミングは慎重に判断する必要があります。事実確認が不十分な段階で断定的に公表すると、かえって混乱を招くことがあります。一方で、報告が遅れると、取引先や顧客の被害が拡大する可能性もあります。

そのため、インシデント発生時には、技術的な調査と並行して、「誰に、いつ、どの範囲まで伝えるか」を整理することが重要です。

 

 自社だけで抱え込まず、専門会社や相談窓口を使う 

 

中小企業にとって、インシデント対応をすべて自社だけで行うのは現実的ではありません。

ランサムウェア、不正アクセス、情報漏えいの調査には、ログ解析、マルウェア解析、侵入経路の特定、被害範囲の確認など、専門的な知識が必要です。


JPCERT/CCは、ランサムウェア被害時の相談先として、JPCERT/CCのインシデント対応相談、IPAの安心相談窓口、IPAの届出窓口、警察、セキュリティ専門企業への相談などを挙げています。

また、JNSAは、ランサムウェアやマルウェア、不正アクセスなどの被害時に、緊急で被害調査や切り分け、復旧対応を行う企業の一覧を公開しています。サイバーインシデントは通常のシステム障害と異なり、専門知識がなければ状態の把握自体が難しいと説明されています。

事前に、相談できる保守会社、セキュリティ会社、弁護士、保険会社、保険代理店などを整理しておくと、発生時に慌てずに済みます。

Insurance - Folder Register Name in Directory. Colored, Blurred Image. Closeup View.

 サイバー保険は「復旧費用・専門家対応」への備えとして考える 

 

インシデント対応では、復旧作業や調査に費用がかかります。

たとえば、次のような費用(数百万〜数千万円規模の莫大なコスト)が発生することがあります。

  被害調査、フォレンジック調査の費用
  サーバーや端末の復旧費用
  専門会社への緊急対応費用
  顧客や取引先への通知対応費用、謝罪広告費用
  問い合わせ窓口の設置費用
  弁護士への相談費用
  損害賠償への備え
  営業停止やシステム停止による損失への備え

 

ここで検討したいのが、サイバー保険です。

サイバー保険は、セキュリティ対策そのものの代わりになるものではありません。しかし、万が一の事故発生時に、専門家対応や復旧費用、損害への備えとして役立つ可能性があります。

ただし、保険は「入っていれば安心」というものではありません。補償対象、免責事項、事故時の連絡先、初動で必要な手続きなどを、平時に確認しておくことが重要です。

 

 復旧は「原因を取り除いてから」が原則 

 

バックアップがある場合でも、すぐに復元すればよいとは限りません。

侵入経路が残ったまま復旧すると、攻撃者が再び侵入する可能性があります。また、感染後のデータや改ざんされた設定を戻してしまうと、被害が再発することもあります。

復旧前には、少なくとも次の点を確認する必要があります。

  どの端末、サーバー、アカウントが影響を受けたか
  侵入経路は何だったのか
  管理者権限が悪用されていないか
  バックアップデータは安全な状態か
  マルウェアや不審な設定が残っていないか
  パスワードや認証情報を変更する必要があるか
  脆弱性の修正や設定変更が必要か

 

経済産業省の手引きでも、復旧にあたっては原因を調査し、発覚・発生日時、表面化している事象、被害・影響、時系列での対応経過、想定される原因などを整理することが示されています。さらに、原因に応じて修正プログラムの適用、設定変更、機器の入替、データの復元などを行い、再発防止策を実施する必要があるとされています。

 

つまり、復旧とは「元に戻すこと」ではなく、「安全な状態に戻すこと」です。

 

 平時に準備しておくべきこと 

 

インシデント対応は、発生してから考えるのでは遅くなります。

中小企業でも、最低限次のような準備をしておくことをおすすめします。

  インシデント発生時の連絡先一覧を作る
  社内の報告ルートを決める
  重要システム、重要データ、管理者アカウントを把握する
  バックアップと復元手順を整備する
  ログを一定期間保存する
  取引先への報告が必要な契約を確認する
  個人情報漏えい時の報告先を確認する
  保守会社、専門会社、保険会社の連絡先をまとめる
  年1回程度、簡単な訓練や読み合わせを行う

 

特に重要なのは、「連絡先」と「判断者」です。


どれだけ立派なルールを作っても、発生時に連絡先が分からなければ対応は止まります。逆に、簡単な手順書でも、誰に連絡し、誰が判断し、誰が外部とやり取りするかが決まっていれば、初動の混乱をかなり減らすことができます。

incident_02

 まとめ:インシデント対応は“起きた後”ではなく“起きる前”に決めておく 

 

サイバー攻撃や情報漏えいは、どの企業にも起こり得ます。

特に中小企業では、専任の担当者がいない、社内ルールが整っていない、外部相談先が決まっていないという理由で、初動対応が遅れてしまうことがあります。

しかし、インシデント対応で大切なのは、完璧な体制を最初から作ることではありません。

まずは、次の3つを決めることから始めましょう。

 ✔️異常を見つけたら誰に報告するか
 ✔️被害拡大を防ぐために何を止める
 ✔️自社だけで対応できないとき、どこに相談するか

バックアップ、EDR、UTM、SASE、アカウント管理、脆弱性管理などの対策は、被害を防ぐために重要です。一方で、インシデント対応は、万が一被害が発生したときに、会社を守るための最後の備えです。

「攻撃されない会社」を目指すだけでなく、「攻撃を受けても慌てず対応できる会社」を目指すことが、これからの中小企業に求められるセキュリティ対策です。

 


 

LYSTは三井住友海上火災保険株式会社の保険代理店であり、法人向け損害保険の一つとして、情報漏えいやサイバー攻撃による事故で企業に生じた損害を補償する「サイバープロテクター」を取り扱っています。


「自社の今の対策で、インシデントに対応できるだろうか?」「サイバー保険について、まずは話を聞いてみたい」という方は、ぜひお気軽にLYSTへご相談ください。貴社の安心なビジネス継続を、私たちが全力で伴走いたします。



 

 

執筆者:【LYST】株式会社LYST

一覧ページへ戻る

CONTACT

マーケティングに関するコンサルティング、
戦略立案支援、調査・分析などでお困りの際は
ぜひご相談ください