Incident Response

Incident Response Process

インシデント対応プロセス

Category: Incident Response / Updated: 2026-05-26

📖

Overview

インシデント対応プロセス(Incident Response Process)とは、サイバー攻撃やセキュリティ侵害が発生した際に、被害を最小限に抑え、迅速かつ体系的に対処するための一連の手順・体制のことです。NIST(米国標準技術研究所)のSP800-61やSANS Instituteのフレームワークが広く参照されており、準備・検知・封じ込め・根絶・復旧・事後対応の各フェーズで構成されます。

現代のサイバー脅威は高度化・巧妙化しており、いかなる組織もインシデントを完全に防ぐことは困難です。そのため、インシデントの発生を前提とした対応プロセスを事前に整備し、CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)と連携した迅速な初動対応を実現することが重要です。対応プロセスの整備は、ビジネス継続性の確保や法規制への準拠においても不可欠な要素となっています。

効果的なインシデント対応プロセスは、技術的な対処だけでなく、経営層への報告、広報対応、法務・コンプライアンス部門との連携、外部機関への届出など、組織横断的な活動を包括します。定期的な訓練(テーブルトップエクササイズ)事後レビュー(ポストインシデントレビュー)を通じて継続的に改善を図ることが、組織のセキュリティレジリエンスを高める鍵となります。

🔬

Details

準備フェーズ(Preparation)

準備フェーズは、インシデント発生前に行うすべての活動を指します。インシデント対応計画書の策定、CSIRTの編成と役割分担、連絡体制の整備、対応ツール・フォレンジックキットの準備、ログ収集基盤の構築などが含まれます。また、従業員に対するセキュリティ意識向上トレーニングや、インシデント対応手順書(プレイブック)の作成も重要な準備活動です。

効果的な準備には、脅威インテリジェンスに基づくリスクアセスメントの実施、ビジネスインパクト分析(BIA)による優先度の設定、外部のインシデント対応サービスプロバイダとの契約締結なども含まれます。準備が不十分な場合、実際のインシデント発生時に混乱が生じ、対応の遅延や被害の拡大につながります。

検知・分析フェーズ(Detection & Analysis)

インシデントの検知は、SIEM(Security Information and Event Management)、IDS/IPS、EDR、ネットワーク監視ツールなどを用いて行います。SOCアナリストがアラートのトリアージを行い、誤検知を排除して真のインシデントを特定します。検知後は、影響範囲の特定、攻撃ベクトルの分析、侵害の深刻度に基づくインシデントの分類・優先度付けを行います。

分析においては、IoC(Indicators of Compromise:侵害指標)の特定が重要です。不審なIPアドレス、ファイルハッシュ、ドメイン名、通信パターンなどを特定し、脅威インテリジェンスと照合することで、攻撃者の手法や目的を推定します。

封じ込め・根絶・復旧フェーズ

封じ込め(Containment)では、被害の拡大を防ぐための緊急措置を講じます。短期的な封じ込め(感染端末のネットワーク隔離など)と長期的な封じ込め(パッチ適用やアクセス制御の強化など)を段階的に実施します。根絶(Eradication)では、マルウェアの除去、侵害されたアカウントの無効化、脆弱性の修正など、根本原因を排除します。

復旧(Recovery)では、システムを正常な運用状態に戻します。バックアップからのリストア、システムの再構築、段階的なサービス復旧を行い、復旧後も一定期間は監視を強化して再発の兆候がないかを確認します。

事後対応フェーズ(Post-Incident Activity)

インシデントの収束後に実施する事後レビュー(Lessons Learned)は、対応プロセスを改善するための最も重要な活動です。インシデントのタイムライン作成、対応の評価、改善点の洗い出し、対応手順の更新を行います。また、経営層への最終報告書の提出、監督官庁や影響を受けた関係者への通知、再発防止策の実施も含まれます。

インシデント対応の成熟度モデル

組織のインシデント対応能力は、成熟度モデルによって評価できます。初期段階では場当たり的な対応にとどまりますが、成熟した組織では、自動化されたプレイブック、脅威インテリジェンスとの統合、メトリクスに基づく継続的改善が実現されています。MTTD(Mean Time To Detect:平均検知時間)MTTR(Mean Time To Respond:平均対応時間)などのKPIを定期的に計測し、対応能力の向上を図ることが重要です。

🛡️

Security Measures

  • 01
    インシデント対応計画書の策定と定期更新:組織の規模やリスクプロファイルに合わせたインシデント対応計画書を策定し、少なくとも年1回は見直しを行ってください。計画書には、インシデントの定義、分類基準、エスカレーションフロー、連絡先リスト、対応手順を明記しましょう。
  • 02
    CSIRTの編成と役割の明確化:インシデント対応を専門に担うCSIRTを編成し、各メンバーの役割と責任を明確に定義してください。技術担当、コミュニケーション担当、法務担当など、多角的な体制を構築することが重要です。
  • 03
    定期的なインシデント対応訓練の実施:テーブルトップエクササイズやサイバー演習を定期的に実施し、対応プロセスの実効性を検証してください。訓練結果を分析し、プロセスの弱点を特定して改善に繋げましょう。
  • 04
    ログ収集・分析基盤の整備:SIEMやログ管理ツールを導入し、ネットワーク機器、サーバー、エンドポイントからのログを一元的に収集・分析できる基盤を整備してください。ログの保存期間は法規制やポリシーに準拠して設定しましょう。
  • 05
    対応プレイブックの整備と自動化:頻出するインシデントタイプ(マルウェア感染、フィッシング、不正アクセスなど)ごとに具体的な対応手順をプレイブック化し、SOAR(Security Orchestration, Automation and Response)ツールによる自動化を検討してください。
  • 06
    外部連携体制の構築:セキュリティベンダー、法執行機関、JPCERT/CCなどの外部機関との連携体制を事前に構築してください。インシデント発生時の情報共有や支援要請がスムーズに行えるよう、平時からの関係構築が重要です。
⚠️

Incidents

📋 Equifax大規模個人情報漏洩事件(2017年)

2017年、米国の信用情報機関Equifaxで約1億4,700万人分の個人情報が漏洩しました。Apache Strutsの既知の脆弱性が悪用されましたが、パッチ適用の遅延に加え、インシデント検知が約76日間も遅れたことが被害を拡大させました。

侵害検知後の対応プロセスにも問題がありました。経営層への報告遅延、情報公開のタイミングの不適切さ、影響を受けた消費者への通知方法に対する批判が相次ぎました。この事件は、インシデント対応プロセスの整備と検知能力の強化がいかに重要であるかを示す教訓となりました。

📋 SolarWinds サプライチェーン攻撃への対応(2020年)

2020年末に発覚したSolarWinds Orionに対するサプライチェーン攻撃では、米国政府機関や多数の大企業が影響を受けました。攻撃は数か月にわたって行われ、セキュリティ企業FireEye(現Mandiant)が自社への侵入を検知したことをきっかけに発覚しました。

この事件では、影響範囲の特定と封じ込めに多大な時間と労力を要しました。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が緊急指令を発出し、連邦政府機関に対してSolarWinds製品の即座の切断を指示するなど、政府レベルでのインシデント対応プロセスが発動されました。

📋 国内大手製造業におけるランサムウェア対応の遅延(2022年)

2022年、国内の大手製造業がランサムウェア攻撃を受け、生産ラインが数日間停止する事態に至りました。インシデント対応チームが未整備であったため、初動対応が遅れ、ランサムウェアがネットワーク全体に拡散しました。

事前にインシデント対応計画が策定されていたものの、定期的な訓練が実施されておらず、実際の対応では手順の不備や役割分担の混乱が発生しました。この事例は、計画の策定だけでなく、定期的な訓練と見直しによる実効性の確保が不可欠であることを示しています。

🔗

Related Terms

CSIRT(シーサート) SOC(セキュリティオペレーションセンター) デジタルフォレンジック ポストインシデントレビュー テーブルトップエクササイズ