インシデント対応・フォレンジック

インシデントレスポンス

約 4 分で読めます

最終更新: 2026-03-20

インシデントレスポンスとは

インシデントレスポンスとは、セキュリティインシデント (不正アクセス、マルウェア感染、情報漏洩、サービス妨害攻撃など) が発生した際に、被害を最小化し、迅速に復旧するための組織的な対応プロセスです。

NIST SP 800-61 (Computer Security Incident Handling Guide) では、インシデントレスポンスを 4 つのフェーズに分類しています。(1) 準備 (Preparation)、(2) 検知と分析 (Detection and Analysis)、(3) 封じ込め・根絶・復旧 (Containment, Eradication, and Recovery)、(4) 事後活動 (Post-Incident Activity) です。

インシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。事前に対応計画を策定し、CSIRT を組織し、定期的に訓練を実施しておくことで、実際のインシデント発生時に冷静かつ体系的に対応できます。

インシデントレスポンスの 4 フェーズ

フェーズ 1: 準備 - インシデント対応計画の策定、CSIRT の編成、連絡体制の整備、ツールの準備、訓練の実施を行います。準備フェーズの充実度が、実際のインシデント対応の成否を決定します。

フェーズ 2: 検知と分析 - SIEM やセキュリティ監視ツールからのアラート、ユーザーからの報告、外部機関からの通知などを通じてインシデントを検知します。検知後は、影響範囲の特定、深刻度の判定、タイムラインの整理を行います。この段階でデジタルフォレンジックの観点から証拠を保全することが重要です。

フェーズ 3: 封じ込め・根絶・復旧 - 被害の拡大を防ぐ封じ込め (感染端末のネットワーク隔離、侵害されたアカウントの無効化)、脅威の根絶 (マルウェアの除去、脆弱性の修正)、システムの復旧を段階的に実施します。

フェーズ 4: 事後活動 - インシデントの根本原因を分析し、再発防止策を策定します。対応の振り返り (Lessons Learned) を実施し、対応計画やプロセスの改善に反映します。

初動対応の重要性と実務の勘所

インシデント対応で最も重要なのは初動の 72 時間です。この期間の対応が、被害の規模と復旧にかかる時間を大きく左右します。

証拠保全を最優先する: 原因究明を急ぐあまり、システムの再起動やログの削除を行うと、デジタルフォレンジックに必要な証拠が失われます。メモリダンプの取得、ディスクイメージの作成、ログの退避を最初に実施してください。

コミュニケーション計画を発動する: 誰に、いつ、何を報告するかを事前に定めておきます。経営層、法務、広報、顧客、監督官庁など、ステークホルダーごとに報告内容とタイミングが異なります。データ侵害の場合、個人情報保護法や GDPR に基づく通知義務の期限にも注意が必要です。

封じ込めの判断基準を事前に定める: 「サーバーをネットワークから切り離すか」「サービスを停止するか」といった判断は、インシデント発生時にゼロから議論すると時間を浪費します。インシデントの深刻度に応じた封じ込めアクションを事前にプレイブックとして定義しておきます。

インシデント対応計画の策定と訓練

インシデント対応計画 (Incident Response Plan) は、以下の要素を含む文書として策定します。

  • インシデントの定義と分類基準 (深刻度レベル)
  • CSIRT のメンバー構成と役割分担
  • エスカレーションフローと連絡先一覧
  • インシデント種別ごとの対応プレイブック (ランサムウェア感染、不正アクセス、情報漏洩など)
  • 外部連携先 (法執行機関、セキュリティベンダー、弁護士) の連絡先
  • 証拠保全の手順
  • 広報・顧客対応のテンプレート

計画を策定しただけでは不十分です。年に 1 回以上のテーブルトップ演習 (机上訓練) を実施し、計画の実効性を検証してください。演習では、架空のインシデントシナリオに基づいて対応手順を実際に辿り、計画の不備や改善点を洗い出します。

演習で発見された課題は速やかに計画に反映し、PDCA サイクルを回すことで対応能力を継続的に向上させます。

よくある誤解

セキュリティ製品を導入していればインシデントレスポンス計画は不要
セキュリティ製品は攻撃の検知と防御を支援しますが、100% の防御は不可能です。製品をすり抜けたインシデントに対して、誰が何をするかを定めた対応計画がなければ、場当たり的な対応になり被害が拡大します。
インシデントが発生したらまずシステムを再起動すべき
再起動するとメモリ上の証拠 (実行中のプロセス、ネットワーク接続情報、マルウェアの痕跡) が失われます。フォレンジック調査に必要な証拠を保全してから、封じ込めと復旧の手順に進んでください。

関連用語

CSIRT (シーサート) Computer Security Incident Response Team の略称で、組織内のセキュリティインシデントに対応する専門チーム。インシデントの… SIEM (セキュリティ情報イベント管理) ネットワーク機器、サーバー、アプリケーションなど多様なソースからログを収集・統合し、セキュリティイベントをリアルタイムに分析・相関付けするプラットフォーム。異常… デジタルフォレンジック コンピュータやネットワーク上の電子的証拠を科学的手法で収集・保全・分析する技術。サイバー犯罪の捜査、インシデントの原因究明、法的手続きにおける証拠提出に利用され… データ漏洩 組織が保有する個人情報や機密データが、不正アクセス、内部犯行、設定ミスなどにより外部に流出する事象。漏洩した認証情報はダークウェブで売買され、クレデンシャルスタ… ランサムウェア 感染したデバイスのファイルを暗号化し、復号と引き換えに身代金 (多くはビットコインなどの暗号資産) を要求するマルウェア。メールの添付ファイルや脆弱性の悪用を通…

関連記事

データ漏洩が起きたら:被害を最小限にする対処法 個人情報の漏洩が発覚した際に取るべき具体的な手順と、被害を最小限に抑えるための実践的な対策を解説します。… ランサムウェア対策ガイド:身代金要求型攻撃から身を守る ランサムウェアの仕組み、感染経路、そして予防策から万が一感染した場合の対処法までを包括的に解説します。…
← 用語集