なぜ中小企業にCSIRTが必要なのか
ランサムウェア被害、フィッシングによる認証情報の窃取、取引先経由のサプライチェーン攻撃——サイバーインシデントは大企業だけの問題ではない。IPAの調査によれば、サイバー攻撃の被害を受けた企業のうち中小企業が占める割合は増加傾向にあり、「うちは狙われない」という認識はもはや通用しない。
問題は、インシデントが発生した際の対応体制が整っていない企業が大半だということだ。「誰が何をすればよいかわからない」「とりあえず情シスに丸投げ」「復旧に何日もかかった」——こうした事態を防ぐために必要なのがCSIRT(Computer Security Incident Response Team)だ。
「CSIRTは大企業のもの」という先入観があるが、最低3名の兼任体制から始められる。本記事では、中小企業が現実的に構築・運用できるCSIRTの作り方を、テンプレート付きで解説する。
CSIRTの基本構成——3名体制のミニマムモデル
中小企業の場合、専任のCSIRTメンバーを確保するのは困難だ。既存の業務と兼任する3名体制で始めるのが現実的な選択肢となる。
3名の役割分担
| 役割 | 推奨する兼任元 | 主な責務 |
|---|---|---|
| CSIRT責任者 | 経営層 or 管理部門長 | インシデント対応の最終判断、対外連絡の承認、予算確保 |
| 技術担当 | 情報システム担当 | インシデントの技術的調査、封じ込め、復旧作業 |
| 連絡・記録担当 | 総務 or 管理部門 | 関係者への連絡、インシデント記録、報告書作成 |
役割分担テンプレート
以下のテンプレートを自社に合わせてカスタマイズし、全従業員に周知する。
インシデント対応フロー——発生から収束まで
フェーズ1:検知・受付(発生から30分以内)
インシデントの兆候を発見した従業員は、直ちに技術担当に報告する。報告すべき事象の例は以下のとおりだ。
- 身に覚えのないログイン通知を受信した
- PCの動作が急に重くなり、不審なプロセスが動いている
- ランサムウェアの画面が表示された
- 取引先から「不審なメールが届いた」と連絡があった
- Webサイトが改ざんされている
技術担当は、報告を受けた時点で以下を記録する。
| 記録項目 | 内容 |
|---|---|
| 検知日時 | yyyy/mm/dd hh:mm |
| 報告者 | 氏名・部署 |
| 事象の概要 | 何が起きているか |
| 影響範囲(暫定) | 影響を受けているシステム・端末 |
| 初期判定 | 重大 / 中程度 / 軽微 |
フェーズ2:トリアージ・判断(30分〜2時間)
技術担当がインシデントの深刻度を判定し、CSIRT責任者に報告する。
| 深刻度 | 基準 | 対応レベル |
|---|---|---|
| 重大 | ランサムウェア感染、個人情報漏洩の可能性、事業停止 | 全員対応、外部専門家の緊急招集 |
| 中程度 | マルウェア感染(1台)、不審なログイン成功、フィッシング被害 | CSIRT3名で対応、必要に応じて外部に相談 |
| 軽微 | フィッシングメール受信(クリックなし)、脆弱性情報の入手 | 技術担当が単独で対応 |
フェーズ3:封じ込め(判定後速やかに)
被害の拡大を防ぐための初動対応だ。深刻度に応じて以下を実行する。
重大インシデントの場合:
- 感染端末をネットワークから即座に切断(LANケーブルを抜く、Wi-Fiを無効化)
- 全従業員にネットワーク利用の一時停止を指示
- バックアップの無事を確認(バックアップがランサムウェアに暗号化されていないか)
- 外部専門家(セキュリティベンダー、フォレンジック業者)に連絡
中程度インシデントの場合:
- 該当端末をネットワークから切断
- 該当アカウントのパスワードを即座に変更
- 同様の兆候が他の端末にないか確認
- 関連するログを保全
フェーズ4:根本原因の調査と復旧
封じ込めが完了した後、根本原因を特定し、復旧作業を行う。
- ログの分析:ファイアウォール、Active Directory、メールサーバーのログから攻撃の経路を特定
- 感染端末の調査:マルウェアの種類、侵入経路、横展開の有無を確認
- 復旧作業:クリーンなバックアップからのリストア、パスワードの一斉変更、脆弱性の修正
- 影響範囲の確定:漏洩した可能性のあるデータの特定
フェーズ5:事後対応・報告
| 対応項目 | 期限 | 担当 |
|---|---|---|
| 経営層への最終報告 | 復旧後3日以内 | CSIRT責任者 |
| 個人情報保護委員会への報告(個人情報漏洩の場合) | 発覚後72時間以内(速報)/ 30日以内(確報) | 連絡・記録担当 |
| 取引先への通知(必要な場合) | 影響範囲確定後速やかに | CSIRT責任者 |
| 再発防止策の策定 | 復旧後2週間以内 | 技術担当 |
| インシデント報告書の作成 | 復旧後1か月以内 | 連絡・記録担当 |
CSIRT構築の具体的手順——4週間プラン
第1週:現状把握と経営層の合意
- 自社のインシデント対応の現状を確認する(手順書の有無、連絡体制の整備状況)
- 経営層にCSIRT構築の必要性を説明し、承認を得る
- 3名のCSIRTメンバーを選定する
第2週:体制と手順の策定
- 役割分担表を作成する
- インシデント対応フローを策定する(本記事のフローをベースにカスタマイズ)
- 外部連絡先リストを整備する
第3週:環境整備と教育
- インシデント報告の受付窓口(メールアドレス or チャットチャネル)を設置する
- CSIRTメンバー向けの勉強会を実施する
- 全従業員にCSIRTの存在と報告手順を周知する
第4週:訓練と改善
- 机上訓練(ランサムウェア感染シナリオ)を実施する
- 訓練で判明した課題を対応フローに反映する
- 定期的な訓練スケジュール(四半期に1回を推奨)を決定する
よくある質問
Q. 3名では足りないのでは?
3名はあくまで「ミニマムスタート」だ。インシデントの規模によっては外部の専門家を招集する前提で設計している。重要なのは、初動対応の判断ができる体制を事前に決めておくことだ。人数が増やせる段階で、広報担当や法務担当を追加する。
Q. 技術力がない場合はどうするか?
社内に高度な技術力がなくても問題ない。CSIRT技術担当の主な役割は「判断と指示」であり、実際の調査・復旧作業は外部のセキュリティベンダーに委託できる。重要なのは、いつ・誰に・何を依頼するかを事前に決めておくことだ。
Q. CSIRTの活動コストはどのくらいか?
3名兼任の場合、追加の人件費は発生しない。訓練や教育に月4〜8時間程度の工数を見込んでおく。外部のセキュリティベンダーとの契約(インシデント対応支援)は月額5万〜20万円が相場だ。
まとめ
CSIRTは「完璧な体制」を目指す必要はない。重要なのは「インシデントが起きたときに、誰が・何を・どの順番で行うかが決まっている」状態を作ることだ。
本記事のポイント:
- 3名の兼任体制(責任者・技術担当・連絡記録担当)で十分にスタートできる
- 役割分担と連絡先を文書化し、全従業員に周知する
- 初動対応フローを策定し、深刻度に応じた対応レベルを事前に定義する
- 四半期に1回の机上訓練でフローの実効性を検証し、改善を続ける
4週間あればCSIRTの基盤は構築できる。まずは3名のメンバーを決めるところから始めてほしい。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
中小企業のCSIRT構築ガイド|3名体制で始めるインシデント対応チーム【テンプレート付き】を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- CSIRTとインシデント対応チームの実践ガイド
- ランサムウェア対策の完全ガイド
- 中小企業のセキュリティ対策コスト優先ガイド
- セキュリティインシデント報告の統一チェックリスト
- 従業員セキュリティ教育プログラムガイド
- GXOの導入事例はこちら
インシデント対応体制、整っていますか?
GXOでは、CSIRT構築支援からインシデント対応フローの策定、従業員向け訓練の実施まで、中小企業のセキュリティ体制構築をトータルで支援しています。現状のリスク評価と最適な体制のご提案を無料で行います。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK