ランサムウェア感染、不正アクセス、情報漏えい——サイバーインシデントはいつ発生してもおかしくない。JPCERT/CCの報告によると、2025年のサイバーインシデント報告件数は過去最高を更新し続けている。しかし「実際に起きたら何をすればいいのか」を具体的に答えられる中小企業は少ない。本記事では、インシデント発生時の初動対応から報告書作成、2026年改正法の届出義務、事後分析まで、1ページで完結するガイドとしてまとめた。
1. 結論:インシデント発生時の最初の30分でやること
インシデント対応では 最初の30分 の初動が被害額を10倍以上変える。以下のアクションを即座に実行する。
| 優先順位 | アクション | 担当 | 目安時間 |
|---|---|---|---|
| 1 | 被害端末をネットワークから切断する(LANケーブル抜線、Wi-Fi OFF) | 発見者 | 即座 |
| 2 | 証拠を保全する(電源は切らない。画面のスクリーンショットを撮影) | 発見者 | 5分以内 |
| 3 | CSIRT責任者(または上長)に電話で報告する | 発見者 | 5分以内 |
| 4 | インシデント宣言を行い、対応チームを招集する | CSIRT責任者 | 15分以内 |
| 5 | 被害範囲の概算を行う(影響を受けたシステム・データの特定) | 技術担当 | 30分以内 |
| 6 | 外部報告の要否を判断する(個人情報漏えい → 速報義務あり) | CSIRT責任者 | 30分以内 |
2. インシデント対応フロー全体像
インシデント対応は以下の6フェーズで構成される。
フェーズ1:検知
セキュリティツール(EDR、SIEM)のアラート、ユーザーからの報告、外部機関からの通報などでインシデントを検知する。
検知のトリガー例:
- EDRがマルウェアの挙動を検知した
- ユーザーが見覚えのないファイルの暗号化に気づいた
- 外部機関(JPCERT/CC、取引先)から不正通信の通報を受けた
- ダークウェブ上に自社データの公開が確認された
フェーズ2:初動対応
被害拡大を防止するための緊急措置を行う。
- 被害端末・サーバーのネットワーク隔離
- 証拠保全(メモリダンプ、ディスクイメージ、スクリーンショット)
- 対応チームの招集
- 初動記録の開始(タイムスタンプ付きで全ての対応を記録)
フェーズ3:封じ込め
被害の拡大を完全に停止させる。
- 感染経路の特定と遮断
- 関連するアカウントの無効化・パスワードリセット
- ファイアウォールルールの変更
- 影響を受けていないシステムの監視強化
フェーズ4:根絶
脅威の原因を完全に除去する。
- マルウェアの駆除
- 侵入経路(脆弱性、設定不備等)の修正
- 全システムのスキャン
- バックドアの有無確認
フェーズ5:復旧
システムを正常な状態に戻す。
- クリーンなバックアップからのデータ復元
- システムの段階的な復旧(重要度の高いシステムから)
- 正常性の確認テスト
- 監視の継続
フェーズ6:事後分析(ポストモーテム)
再発防止のための分析と改善を行う(詳細は第7章で解説)。
3. 72時間タイムラインと各フェーズのチェックリスト
インシデント発生から72時間の対応タイムラインと、各フェーズで確認すべき項目をまとめた。
0〜1時間:初動対応
- [ ] 被害端末をネットワークから隔離した
- [ ] 証拠を保全した(電源は切らない)
- [ ] CSIRT責任者に報告した
- [ ] インシデント宣言を行った
- [ ] 対応記録を開始した(タイムスタンプ付き)
- [ ] メール以外の連絡手段を確保した(メールサーバーが被害を受けている可能性)
1〜4時間:被害範囲の特定
- [ ] 影響を受けたシステムの一覧を作成した
- [ ] 影響を受けたデータの種類と件数を概算した
- [ ] 個人情報の漏えい可能性を評価した
- [ ] 攻撃の種類を暫定的に特定した(ランサムウェア、不正アクセス等)
- [ ] 感染経路の調査を開始した
4〜24時間:封じ込めと外部報告
- [ ] 感染経路を特定し、遮断した
- [ ] 関連アカウントのパスワードをリセットした
- [ ] 外部報告の要否を判断し、必要な場合は速報を提出した
- [ ] 経営層に状況報告を行った
- [ ] 取引先への影響がある場合、通知を開始した
- [ ] サイバー保険の保険会社に連絡した
24〜48時間:根絶と復旧準備
- [ ] マルウェアの完全駆除を確認した
- [ ] 侵入経路となった脆弱性を修正した
- [ ] バックドアの有無を確認した
- [ ] 復旧計画を策定した(優先順位、手順、確認事項)
- [ ] フォレンジック調査の必要性を判断した
48〜72時間:復旧と報告
- [ ] クリーンなバックアップからシステムを復旧した
- [ ] 復旧後の正常性を確認した
- [ ] 個人情報保護委員会への速報を提出した(未提出の場合)
- [ ] 社内向けの経過報告を行った
- [ ] 監視を強化し、再発の兆候がないか確認した
4. セキュリティインシデント報告書の書き方(テンプレート付き)
報告書テンプレート
以下の構成で報告書を作成する。速報(発生から3〜5日以内)と確報(30日以内)の2段階で提出する。
【速報テンプレート】(発生からおおむね3〜5日以内に提出)
【確報テンプレート】(インシデント収束後、発生から30日以内に提出)
報告書作成のポイント
- 事実と推測を明確に区別する。 「〜と考えられる」「調査中」など、確定していない事項は明示する
- タイムラインは分単位で記録する。 対応の正当性を示す証拠になる
- 専門用語は最小限に。 経営層、取引先、監督官庁の担当者が読むことを想定する
5. 2026年改正個人情報保護法の届出義務
報告期限と届出先
2026年は2つの法改正がインシデント報告に大きく影響する。
| 法令 | 施行日 | 報告義務 | 報告期限 |
|---|---|---|---|
| 個人情報保護法(改正) | 2026年度中 | 個人情報漏えい時の報告義務 | 速報:おおむね3〜5日以内、確報:30日以内 |
| サイバー対処能力強化法 | 2026年10月1日 | サイバー攻撃の報告義務(基幹インフラ事業者) | 法令で規定 |
報告窓口の一元化
現行制度では報告先が複数に分散しているが、2026年度中に報告窓口の一元化が進む方向で調整が行われている。
| 報告先 | いつ報告するか |
|---|---|
| 個人情報保護委員会 | 個人情報の漏えいが発生した場合(速報3〜5日以内) |
| 警察(サイバー犯罪相談窓口) | 犯罪被害の場合 |
| 所管省庁 | 業法で報告義務がある場合 |
| JPCERT/CC | 技術的なインシデント報告(任意だが推奨) |
| IPA(情報セキュリティ安心相談窓口) | 技術的な相談が必要な場合 |
課徴金制度の導入
2026年改正で 課徴金制度 が導入される。個人情報の取扱いに関する重大な違反には、これまでの是正命令に加え、違反に関連する売上の一定割合が金銭的制裁として科される。報告義務を果たせない場合のリスクが大幅に高まった。
報告義務の一部緩和
一方で、本人の権利利益の保護に欠けるおそれが少ない軽微な事案については、本人への通知義務が緩和される。すべてのインシデントに同じレベルの対応を求めるのではなく、リスクに応じた対応が可能になる方向だ。
6. CSIRT/SOCがない中小企業の対応方法
「CSIRTなんて大企業の話」と考える中小企業は多いが、実際には 最小3名 からインシデント対応体制を構築できる。
最小3名体制のCSIRT
| 役割 | 担当者 | 兼任可能な既存役職 | 主な責任 |
|---|---|---|---|
| CSIRT責任者 | 1名 | 管理部長、取締役 | 意思決定、外部報告、経営層への報告 |
| 技術担当 | 1名 | 情シス担当、IT管理者 | 検知・分析・技術的対応 |
| 連絡・記録担当 | 1名 | 総務、法務 | 連絡フロー実行、記録、法的対応 |
構築の5ステップ(最短1週間)
- メンバーの任命と役割定義(1日):上記3名を任命し、役割を文書化する
- インシデント対応手順書の作成(2〜3日):本記事のフローとチェックリストをベースに自社版を作成する
- 連絡先リストの整備(半日):警察、個人情報保護委員会、IPA、JPCERT/CC、セキュリティベンダー、顧問弁護士、サイバー保険会社
- ツールの整備(1〜2週間):EDR、ログ管理、バックアップ、緊急連絡ツール
- 訓練の実施(半日、年2回):「月曜朝、全社のPCに身代金画面が表示された」等のシナリオで30分の模擬訓練
外部リソースの活用
社内だけで対応が難しい場合は、外部サービスを活用する。
| サービス | 内容 | 費用目安 |
|---|---|---|
| SOC(セキュリティ監視) | 24/365のセキュリティ監視 | 月10万〜30万円 |
| インシデント対応支援 | 有事の際の技術支援(スポット) | 50万〜200万円/件 |
| CSIRT構築コンサルティング | 体制設計・手順書作成・訓練 | 50万〜150万円 |
| サイバー保険 | インシデント時の費用補償 | 年10万〜50万円 |
補助金の活用
EDRやログ管理ツールの導入には、「デジタル化・AI導入補助金(セキュリティ対策推進枠)」が活用できる。補助率1/2、上限100万円。
7. ポストモーテム(事後分析)の進め方
ポストモーテムは「犯人探し」ではなく、組織として同じ失敗を繰り返さないための学習プロセス だ。
ポストモーテムの5つのステップ
ステップ1:事実の整理
- インシデントの全タイムラインを時系列で整理する
- 「いつ、何が起き、誰が、何をしたか」を事実ベースで記録する
ステップ2:根本原因分析(RCA)
- 「なぜそれが起きたのか」を5回繰り返す(5 Whys)
- 直接原因だけでなく、根本原因(プロセスの不備、教育不足等)を特定する
ステップ3:良かった点・改善点の洗い出し
- 対応の中でうまくいったことも記録する(次回に活かすため)
- 「もっと早くできたこと」「判断に迷ったこと」を特定する
ステップ4:再発防止策の策定
| 区分 | 期限 | 例 |
|---|---|---|
| 短期対策(実施済み) | 即時 | パスワードリセット、脆弱性パッチ適用 |
| 中期対策 | 1ヶ月以内 | EDR導入、ログ保存期間延長 |
| 長期対策 | 3ヶ月以内 | セキュリティポリシー改定、全社研修実施 |
- インシデント対応手順書を、今回の教訓を反映して更新する
- 連絡先リスト、体制図を最新化する
- 次回の訓練シナリオに、今回のインシデントを反映する
ポストモーテムの注意点
- 非難(blame)しない文化を徹底する。 個人の責任追及ではなく、仕組みの改善に焦点を当てる
- インシデント収束後1〜2週間以内に実施する。 時間が経つと記憶が薄れる
- 全関係者が参加する。 技術担当だけでなく、経営層や連絡担当も含める
- 結果を文書化して共有する。 他部門・他拠点の学習材料にもなる
8. FAQ(よくある質問)
Q. インシデントかどうか判断がつかない場合はどうすればよいか
迷ったら「インシデントとして扱う」が鉄則だ。後から「インシデントではなかった」と判明した場合のコストは低いが、インシデントを見逃した場合の被害は甚大だ。CSIRT責任者に報告し、判断を仰ぐこと。
Q. ランサムウェアの身代金は支払うべきか
原則として 支払うべきではない。 支払っても復号キーが提供される保証はなく、反社会的勢力への資金提供になる可能性がある。バックアップからの復旧を最優先とし、警察や専門家に相談すること。
Q. ログが保存されていない場合はどう対応するか
原因特定が困難になるが、できる範囲で対応する。フォレンジック業者に相談し、残存するデータから可能な限りの情報を抽出する。今後に向けて、アクセスログの保存期間を最低180日に設定することを強く推奨する。
Q. 取引先にはいつ通知すべきか
取引先のデータに影響がある場合は、速やかに通知する。遅延した通知は信頼を大きく損なう。影響範囲が確定していなくても、「調査中であること」と「現時点で判明していること」を伝えるべきだ。
Q. サイバー保険はどこまでカバーされるか
一般的なサイバー保険は、フォレンジック調査費用、データ復旧費用、弁護士費用、損害賠償金、逸失利益などをカバーする。ただし、補償範囲は保険商品によって大きく異なる。年間保険料は10万〜50万円程度が目安だ。
Q. 中小企業でもフォレンジック調査は必要か
個人情報の漏えいが疑われる場合や、被害範囲が不明な場合は、フォレンジック調査を強く推奨する。費用は50万〜200万円程度だが、サイバー保険でカバーされるケースが多い。報告書の根拠としても重要だ。
関連記事
- サプライチェーンセキュリティチェックリスト20項目 — 取引先のセキュリティ評価
- 中小企業のセキュリティ対策費用 — 予算計画ガイド
- GXOの導入事例を見る — セキュリティ支援の実績