ランサムウェアに感染した。顧客情報が流出したかもしれない。そのとき、30分以内に専門家へ電話できる体制があるかどうかで、被害額は桁が変わる。
警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等」によれば、2025年のサイバー犯罪検挙件数は過去最高を更新した。IPA「情報セキュリティ10大脅威 2026」でもランサムウェアが9年連続で1位に選ばれている。攻撃を100%防ぐことは不可能であり、「やられた後にどれだけ早く動けるか」 が企業の生死を分ける時代になっている。
ここで注目されているのが インシデント対応リテイナー契約 だ。平時に月額費用を払い、有事に専門チームが即座に動いてくれる「セキュリティの顧問契約」である。本記事では、佐藤真理子さんのように「攻撃を受けたときの対応体制を整えたい」と考えている情シス担当者に向けて、リテイナー契約の費用相場から選び方、導入後の運用まで実践的に解説する。
目次
- インシデント対応リテイナー契約とは
- なぜ「事後契約」ではなく「リテイナー」なのか
- リテイナー契約に含まれるサービス内容
- 費用相場 --- 月額50万〜200万円の内訳
- 契約形態の比較 --- 3つのタイプ
- ベンダー選定の7つのチェックポイント
- 導入までのステップ
- リテイナー契約の費用対効果 --- 「高い」は本当か
- よくある失敗パターンと回避策
- まとめ
- FAQ(よくある質問)
- 付録:インシデント対応リテイナー契約 導入前チェックリスト
インシデント対応リテイナー契約とは
インシデント対応リテイナー契約(IR Retainer)とは、セキュリティインシデントが発生した際に 即座に対応を開始できるよう、専門ベンダーと事前に契約を結んでおく サービスだ。
顧問弁護士の契約をイメージすると分かりやすい。月額費用を支払う代わりに、何か起きたときにすぐ電話が通じ、専門家が動いてくれる。セキュリティ版の顧問契約がリテイナーである。
| 項目 | リテイナー契約 | スポット契約(事後契約) |
|---|---|---|
| 契約タイミング | インシデント発生前 | インシデント発生後 |
| 対応開始までの時間 | 数時間以内(SLA付き) | 数日〜1週間 |
| 費用 | 月額固定 + 超過分従量 | 全額従量(割高) |
| 自社環境の事前把握 | あり | なし |
| 対応品質 | 高い(事前にヒアリング済み) | 不確定(初見の環境) |
なぜ「事後契約」ではなくリテイナーなのか
理由1:初動の遅れが被害額を10倍にする
IBMの「Cost of a Data Breach Report 2025」によれば、インシデントの特定と封じ込めに200日以上かかった場合の平均被害額は約5.5億円。一方、100日以内に対応できた場合は約3.2億円だった。初動が遅れるだけで2億円以上の差 が出る。
リテイナー契約であれば、多くのベンダーが SLA(サービスレベル合意)で2〜4時間以内の対応開始 を保証している。事後契約では「早くても3営業日後」がほとんどだ。
理由2:有事にベンダーの「空き」がない
大規模なサイバー攻撃が発生すると、フォレンジック専門会社には依頼が殺到する。WannaCryやEmotetの流行時には、「どこに電話しても1ヶ月待ち」という状況が実際に発生した。リテイナー契約を結んでいる企業は 優先的に対応を受けられる ため、順番待ちを回避できる。
理由3:2026年の法規制が報告期限を厳格化
2026年10月施行のサイバー対処能力強化法では、重大インシデントの報告期限が厳格化される。個人情報保護法の改正でも、漏えい発覚後3〜5日以内の速報が求められている。対応が遅れて報告期限を守れなければ、法令違反のリスクが発生する。
リテイナー契約に含まれるサービス内容
リテイナー契約のサービス内容は、大きく4つのフェーズに分かれる。
1. 初動対応(インシデントトリアージ)
インシデント発生の連絡を受けてから最初に行う対応だ。
- 24時間365日の緊急窓口:専用のホットラインが用意される
- インシデントの重大度判定:誤検知か本当の攻撃かを切り分ける
- 初期封じ込め指示:ネットワーク遮断、アカウント停止などの初期対応を電話またはリモートで指示
- エスカレーション判断:フォレンジック調査やオンサイト対応が必要かどうかを判定
対応開始目安: 連絡から2〜4時間以内(SLAによる)
2. フォレンジック調査
攻撃の全容を明らかにするための専門調査だ。
- 証拠保全:ディスクイメージの取得、メモリダンプの保全
- マルウェア解析:感染した検体の分析、攻撃手法の特定
- 侵害範囲の特定:どのシステム・データが影響を受けたかの確認
- 攻撃経路の分析:初期侵入の手口、横展開の経路、データ持ち出しの有無
- タイムライン作成:攻撃者の行動を時系列で再構築
所要期間目安: 2〜4週間(規模による)
3. 復旧支援
システムを安全な状態に戻し、業務を再開するための支援だ。
- マルウェア駆除:感染端末のクリーンアップ
- システム復旧計画の策定:安全なバックアップからの復元手順を作成
- 再侵入防止策の実施:攻撃に使われた脆弱性の修正、認証情報のリセット
- 監視強化:復旧後の一定期間、再攻撃の兆候がないかを監視
所要期間目安: 1〜3週間(規模による)
4. 報告書作成
経営層、取引先、監督官庁への報告に使用する文書を作成する。
- 技術報告書:攻撃の技術的な詳細、影響範囲、対応内容
- 経営向けサマリー:非技術者にもわかる形での被害概要と対策
- 監督官庁向け報告書:個人情報保護委員会、所管省庁への報告フォーマット
- 再発防止策提言書:今回のインシデントを踏まえた改善提案
納品目安: インシデント収束後1〜2週間
費用相場 --- 月額50万〜200万円の内訳
リテイナー契約の費用は、企業規模やサービス範囲によって幅がある。以下に3つのプランを示す。
プラン別費用一覧
| プラン | 月額費用 | 対象企業規模 | 含まれるサービス |
|---|---|---|---|
| ライトプラン | 月額50万〜80万円 | 従業員100名以下 | 緊急窓口 + 初動対応(年間○時間分のフォレンジック工数込み) |
| スタンダードプラン | 月額80万〜150万円 | 従業員100〜500名 | ライト + フォレンジック + 復旧支援 + 報告書作成 |
| プレミアムプラン | 月額150万〜200万円 | 従業員500名以上 | スタンダード + 平時の脆弱性診断 + 年次訓練 + 月次レポート |
費用の内訳構造
月額費用は、大きく以下の3要素で構成されている。
| 費用項目 | 割合の目安 | 内容 |
|---|---|---|
| リテイナーフィー(基本料金) | 40〜50% | SLAの維持、24h窓口の運営、自社環境情報の更新管理 |
| プリペイド工数 | 30〜40% | 有事に使えるフォレンジック・復旧作業の前払い工数 |
| 平時サービス | 10〜30% | 脆弱性情報の提供、セキュリティアドバイザリー、訓練 |
超過費用が発生するケース
プリペイド工数を超過した場合は、追加費用が発生する。
| 作業内容 | 追加費用の目安(1件あたり) |
|---|---|
| フォレンジック調査(追加分) | 300万〜1,000万円 |
| オンサイト対応(技術者派遣) | 1人日あたり15万〜30万円 |
| マルウェア検体の詳細解析 | 50万〜200万円 |
| 大規模復旧支援(100台以上) | 500万〜2,000万円 |
| 法的対応支援(弁護士連携) | 100万〜500万円 |
契約形態の比較 --- 3つのタイプ
リテイナー契約にはいくつかのバリエーションがある。自社に合った形態を選ぶことが重要だ。
タイプ1:時間プール型(最も一般的)
月額費用に一定時間のフォレンジック・対応工数が含まれる形態。
- 仕組み:月額に年間100〜200時間分の対応工数がプール(前払い)されている
- メリット:使わなかった工数を翌年に繰り越せるプランもある。平時は脆弱性診断に工数を充当できる場合もある
- デメリット:大規模インシデントではプール時間を超過する可能性がある
- 費用目安:月額50万〜150万円
タイプ2:固定対応型
月額費用で「インシデント○件まで対応」と件数で定義する形態。
- 仕組み:年間2〜4件までのインシデント対応を月額に含む
- メリット:「1件あたりいくら」が明確で、予算管理がしやすい
- デメリット:件数を超過した場合の追加費用が高額になりがち
- 費用目安:月額80万〜200万円
タイプ3:ハイブリッド型
基本料金(SLA維持・窓口運営)は月額固定、実際の対応作業は従量課金の形態。
- 仕組み:月額20万〜40万円の基本料金 + 発生時の作業費用(リテイナー割引適用)
- メリット:月額の固定費を抑えられる。インシデントが発生しなければ最もコストが低い
- デメリット:発生時のコストが読みにくい。予算を確保しておく必要がある
- 費用目安:月額20万〜40万円 + 発生時に別途
契約形態の選び方
| 自社の状況 | 推奨タイプ |
|---|---|
| インシデント対応の経験がほとんどない | タイプ1(時間プール型) |
| 年に数回はインシデントが発生している | タイプ2(固定対応型) |
| CSIRTはあるが高度な案件だけ外部に頼りたい | タイプ3(ハイブリッド型) |
| 初めてリテイナーを導入する | タイプ1(時間プール型) |
ベンダー選定の7つのチェックポイント
リテイナー契約のベンダーを選ぶ際に確認すべきポイントを整理する。
1. SLA(対応開始時間)の明確さ
「できるだけ早く対応します」は意味がない。具体的な時間(例:連絡から4時間以内にリモート対応開始) が契約書に明記されているかを確認する。
2. フォレンジック能力の実績
デジタルフォレンジックは高度な専門技術だ。以下を確認する。
- 過去の対応実績件数(年間50件以上が目安)
- フォレンジック認定資格の保有者数(GCFE、EnCE、CFE等)
- ランサムウェア、標的型攻撃など、自社が想定するシナリオの対応経験
3. 24時間365日の対応体制
サイバー攻撃は深夜や休日に発生することが多い。「平日9時〜18時」では実質的に役に立たない。24時間365日の対応体制が整っているかを確認する。
4. 日本語での対応可否
グローバルベンダーの場合、一次対応は英語になるケースがある。経営層への報告や監督官庁への届出を考慮すると、日本語での報告書作成が可能か は必須の確認事項だ。
5. 自社業界・規模への対応経験
医療、金融、製造業など、業界ごとに規制要件やシステム構成が異なる。自社と同じ業界・規模の企業への対応実績があるベンダーを選ぶ。
6. 平時のサービス内容
有事の対応だけでなく、平時に提供されるサービスも重要だ。
- 脆弱性情報の提供(自社に関連する情報の選別配信)
- セキュリティアドバイザリー(相談窓口)
- 年次のインシデント対応訓練の実施
- 自社環境の定期ヒアリング・更新
7. 契約の柔軟性
- 最低契約期間(1年が一般的、中途解約条件の確認)
- プリペイド工数の繰り越し可否
- 契約内容の見直し頻度(年1回の棚卸しがあるか)
導入までのステップ
リテイナー契約の導入は、以下の5ステップで進める。
ステップ1:自社のリスクアセスメント(2週間)
まず、自社が抱えるサイバーリスクを整理する。
- 保有する情報資産のリストアップ(個人情報、機密情報、知財など)
- 想定される攻撃シナリオの洗い出し(ランサムウェア、標的型攻撃、内部不正など)
- 現在のインシデント対応体制の棚卸し(CSIRTの有無、対応手順書の有無)
- インシデント発生時に自社で対応できる範囲の明確化
ステップ2:ベンダー候補の選定と情報収集(2週間)
3〜5社程度のベンダーから情報を収集する。
- Webサイトや資料で基本情報を確認
- 可能であれば、既存の利用企業から評判を聞く
- IPA「情報セキュリティサービス基準適合サービスリスト」に掲載されているかを確認
ステップ3:提案依頼と比較評価(3〜4週間)
RFP(提案依頼書)を作成し、各ベンダーから提案を受ける。
RFPに含めるべき内容:
- 自社の事業概要とIT環境の概要
- 想定するインシデントシナリオ
- 求めるSLA(対応開始時間)
- 平時に期待するサービス内容
- 予算の目安
- 契約期間の希望
ステップ4:社内決裁と契約締結(2〜4週間)
経営層への説明と予算確保を行い、契約を締結する。
稟議書に盛り込むべきポイント:
- インシデント発生時のスポット対応費用との比較(スポットは2〜3倍高い)
- 対応遅延による想定被害額(業務停止1日あたりの逸失利益)
- 法規制への対応(サイバー対処能力強化法、改正個人情報保護法)
- 同業他社のリテイナー契約導入状況
ステップ5:キックオフとオンボーディング(2〜4週間)
契約締結後、ベンダーが自社環境を理解するためのオンボーディングを実施する。
- ネットワーク構成図、システム構成図の共有
- 重要資産リストの共有
- 連絡体制(エスカレーションフロー)の確定
- 初回のインシデント対応訓練(テーブルトップ演習)
全体で2〜3ヶ月 を見込んでおくとよい。
リテイナー契約の費用対効果 --- 「高い」は本当か
「月額100万円は高い」。予算を持つ立場からすれば、当然の感覚だろう。ここでは数字で検証する。
スポット契約との費用比較
従業員200名の中堅企業がランサムウェア被害を受けた場合を想定する。
| 費用項目 | スポット契約 | リテイナー契約(年額1,200万円の場合) |
|---|---|---|
| フォレンジック調査 | 800万円 | 年額に含む(プリペイド工数内) |
| 初動対応 | 200万円 | 年額に含む |
| 復旧支援 | 500万円 | 300万円(リテイナー割引適用) |
| 報告書作成 | 150万円 | 年額に含む |
| 対応費用 小計 | 1,650万円 | 300万円(超過分のみ) |
| 業務停止損害(10日間) | 3,000万円(対応開始まで3日) | 1,500万円(対応開始まで4時間) |
| 合計 | 4,650万円 | 1,800万円(年額含む) |
インシデントが発生しなかった場合
「年間1,200万円払ったのにインシデントが起きなかった」場合でも、以下のリターンがある。
- 平時サービスの活用:脆弱性診断、セキュリティ相談、訓練の実施
- プリペイド工数の転用:脆弱性診断やペネトレーションテストに充当できるプランもある
- 保険効果:「年間1,200万円で最大数千万円〜数億円の損害リスクをヘッジ」と考えれば、保険料として合理的
- 取引先への信頼:リテイナー契約の存在は、サプライチェーンセキュリティの観点で取引先からの信頼につながる
よくある失敗パターンと回避策
失敗1:契約だけして訓練をしない
リテイナー契約を結んだことに安心し、実際にインシデントが起きたときの連絡フローを社内で共有していない。いざというときに「誰がベンダーに電話するのか」「電話番号はどこに書いてあるのか」が分からず、初動が遅れる。
回避策: 年に最低2回、インシデント対応訓練を実施する。ベンダーが提供するテーブルトップ演習を活用し、連絡フローを実際に動かして確認する。
失敗2:自社環境の情報を更新しない
契約時にネットワーク構成図を共有したきり、その後のシステム変更を反映していない。ベンダーが古い情報をもとに対応を開始するため、初動が混乱する。
回避策: 四半期に1回、自社環境の変更点をベンダーに共有する。定期ミーティングの議題に「環境変更の報告」を入れておく。
失敗3:社内CSIRTとの役割分担が曖昧
「ベンダーが全部やってくれる」と思い込み、社内のCSIRT(または情シス担当)との役割分担を定義していない。インシデント発生時に「ここは社内でやってください」と言われて戸惑う。
回避策: RACI表(Responsible, Accountable, Consulted, Informed)を作成し、社内とベンダーの役割を明文化する。
失敗4:費用の安さだけで選ぶ
月額の安さだけでベンダーを選んだ結果、SLAが緩い、フォレンジック能力が低い、日本語対応が不十分、といった問題に直面する。
回避策: 本記事の「7つのチェックポイント」を使って総合的に評価する。月額費用だけでなく、超過時の単価やSLAの内容を含めた「トータルコスト」で比較する。
まとめ
インシデント対応リテイナー契約は、サイバー攻撃が「起きるかどうか」ではなく「いつ起きるか」の時代において、合理的な投資だ。
費用の目安は月額50万〜200万円。初動対応、フォレンジック調査、復旧支援、報告書作成をワンストップでカバーし、最も重要な「初動の速さ」を手に入れることができる。スポット契約と比較すれば、年間のリテイナー費用を含めても、インシデント発生時のトータルコストは大幅に安くなる。
導入に際しては、SLAの明確さ、フォレンジック能力の実績、24時間365日体制、日本語対応の可否を重点的に確認し、契約後は定期訓練と環境情報の更新を怠らないことが成功の鍵だ。
GXOでは、インシデント対応体制の構築からリテイナーベンダーの選定支援、CSIRTの立ち上げまで一貫してサポートしている。GXO株式会社の支援事例はこちら。会社概要はこちら。
インシデント対応体制の構築を無料でご相談いただけます
「サイバー攻撃を受けたときの対応体制が不安」「リテイナー契約を検討しているが選び方がわからない」「CSIRTを立ち上げたいがリソースがない」。こうしたお悩みに対し、現状のリスク評価からベンダー選定の支援、社内体制の整備までワンストップでご提案いたします。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
FAQ(よくある質問)
Q1. リテイナー契約とサイバー保険は何が違いますか?
A1. リテイナー契約は「技術的な対応力」を買うもの、サイバー保険は「経済的な補償」を買うものだ。リテイナー契約があれば専門家が攻撃の封じ込めや復旧を実行してくれるが、被害額の金銭補填はしない。サイバー保険はフォレンジック費用や損害賠償金を補償するが、技術的な対応は行わない。両者は補完関係にあり、できれば両方を組み合わせるのが理想的だ。
Q2. 社内にCSIRTがなくてもリテイナー契約は結べますか?
A2. 結べる。むしろ、社内にCSIRTがない企業こそリテイナー契約の必要性が高い。ただし、ベンダーとの連絡窓口となる担当者(最低1名)は社内に必要だ。「インシデントが起きたら、この人がベンダーに電話する」という役割を明確にしておく。
Q3. 月額50万円のプランで本当に対応できますか?
A3. 従業員100名以下の企業であれば、ライトプランで基本的な対応はカバーできる。ただし、大規模なランサムウェア被害(100台以上の暗号化、大量の個人情報漏洩)の場合はプリペイド工数を超過し、追加費用が発生する可能性がある。自社のリスクレベルに応じてプランを選択し、超過時の費用も事前に確認しておくことが重要だ。
Q4. 契約期間の途中で解約できますか?
A4. 多くのベンダーは1年契約を基本としている。中途解約は可能だが、違約金(残存期間の月額費用の50%程度)が発生するケースが多い。契約前に解約条件を必ず確認する。3ヶ月のトライアル期間を設けているベンダーもあるため、不安がある場合はトライアルから始めるのも一つの手だ。
Q5. リテイナー契約を結んでいれば、社内のセキュリティ対策は不要になりますか?
A5. ならない。リテイナー契約は「攻撃を受けた後の対応」を支援するものであり、「攻撃を防ぐ」ためのものではない。EDRの導入、パッチ管理、バックアップの取得、従業員教育といった基本的なセキュリティ対策は引き続き必要だ。防御と対応の両輪がそろって初めて、実効性のあるセキュリティ体制が構築できる。