事件响应とは

本文约需 2 分钟阅读

インシデントレスポンスとは、セキュリティ事故 (インシデント) が発生した際に 被害を最小化し、迅速に復旧するための組織的な対応プロセスです。 NIST SP 800-61 では「準備」「検知・分析」「封じ込め・根絶・復旧」 「事後活動」の 4 フェーズが定義されており、SOC チームが中心となって対応を進めます。 2025 年現在、ランサムウェア攻撃の増加に伴い、 インシデント対応計画の整備は経営課題として認識されています。

現場での使用例

「金曜深夜にランサムウェアの感染を検知し、インシデント対応チームを緊急招集しました。 プレイブックに従って感染端末を 30 分以内にネットワークから隔離し、 バックアップからの復旧を土日で完了。月曜朝には通常業務を再開できています。」

インシデント対応フロー

4 フェーズの実務

準備フェーズでは、対応手順書 (プレイブック) の整備、連絡体制の確立、 フォレンジックツールの準備を行います。検知・分析フェーズでは、SIEM のアラートやユーザーからの報告を トリアージし、影響範囲を特定します。封じ込めでは感染端末のネットワーク隔離、 アカウントの無効化などを実施し、根絶ではマルウェアの 完全除去とシステムの再構築を行います。事後活動では根本原因分析 (RCA) を実施し、 再発防止策を策定します。インシデント対応の実践書 (Amazon)で体系的に学べます。

よくある誤解と落とし穴

「インシデント対応は IT 部門だけの仕事」という誤解は危険です。 広報 (メディア対応)、法務 (個人情報保護法への対応)、経営層 (意思決定) の 関与が不可欠で、事前に役割分担を明確にしておく必要があります。 また、インシデント発生時にパニックで証拠を消してしまうケースも多く、 「まずログを保全する」という原則を全社員に周知しておくことが重要です。データ漏洩対応では、 72 時間以内の当局への報告義務がある場合もあり、時間との戦いになります。

個人レベルでの備え

個人でもアカウント乗っ取りやフィッシング被害は起こり得ます。 パスつく.com で生成した強力なパスワードで各サービスを保護し、 万が一の漏洩時にはすぐにパスワードを変更できるよう、個人向けインシデント対応の 手順を事前に把握しておきましょう。CSIRT 運用の書籍 (Amazon)も参考になります。