結論:初動の失敗は技術力でなく「決めていなかったこと」から起きる
ランサムウェアの兆候が見つかるのは、往々にして深夜や休日である。そのとき問われるのは高度な技術力ではない。誰がネットワーク遮断を決めるのか、どこに報告するのか、経営にいつ上げるのか——この三つが決まっていない会社では、担当者が連絡先を探し、権限者の判断を待ち、様子を見ているうちに暗号化が横へ広がる。初動・報告フローを平時に決めていないことこそが、被害と混乱を拡大させる失敗の正体である。
- インシデント対応の成否は、有事のスキルよりも「誰が・何を・どの順で決めるか」が平時に文書化されているかで決まる。
- 遮断の権限者が決まっていないと、業務影響を恐れて誰も止められず、判断の空白の間に被害が広がる。
- 報告ルートがないと情報が現場に滞留し、経営判断と法定報告の両方が遅れる。
- 個人情報の漏えい等は速報・確報の期限が定められており、「調査が終わってから報告」では間に合わない。
- 初動は検知→遮断→保全→報告→意思決定の5段で型化し、各段の担当と判断基準をあらかじめ決めておく。
この連載は「セキュリティ対策の失敗図鑑」として、中堅・中小企業がつまずきやすいセキュリティの落とし穴を一つずつ分解している。第5回となる本稿が扱うのは「有事の初動手順」である。平時に検知の仕組みを回せているかを扱った第1回のEDRを入れて「対策済み」と思い込む失敗と対をなし、検知した後に組織が動けるかを問う。なお、初動のうち証拠保全については本稿では概説に留め、復旧を急ぐあまり証拠を壊してしまう失敗は第12回の復旧優先で証拠保全を壊す失敗で詳しく扱う。
なぜ初動・報告フローが決まっていないと被害が拡大するのか
深夜・休日に「遮断を決められる人」がいない
ランサムウェアはネットワーク内で横展開しながら暗号化を広げるため、兆候を察知したときの速やかな隔離・遮断が被害範囲を左右する。ところが遮断には業務影響が伴う。サーバを切り離せば受注や出荷が止まるかもしれない。だからこそ現場の担当者は独断で全社ネットワークを止める決断ができず、権限者の判断を仰ごうとする。その権限者が誰なのか決まっていない、あるいは深夜で連絡がつかないとき、組織は「朝まで様子を見る」という最悪の選択に流れる。遮断が数時間遅れる間にも暗号化は進む。問題は技術ではなく、「誰の判断で・何を・どこまで止めるか」を決めていなかったことにある。
発見者の自己判断が時間と証拠を失わせる
報告ルートが決まっていない組織では、異常に気づいた発見者が「まず自分で何とかしよう」と動きがちである。再起動や復旧を自己判断で試みると、原因特定に必要な証拠が消え、後の調査と報告が困難になる。当社のインシデント対応フローのテンプレートでも、最も重要なルールとして「発見者が自己判断で復旧しようとしないこと」を挙げている。また、報告手段がメール一系統に依存していると、メールサーバ自体が被害を受けている場合に連絡網が機能しない。電話など別ルートの連絡手段を平時に決めておかなければ、第一報すら届かない事態が起こりうる。
法定報告の期限は調査の完了を待ってくれない
改正個人情報保護法では、要配慮個人情報の漏えい等、不正アクセス等により漏えいのおそれが生じた場合、財産的被害が生じるおそれがある場合、1,000人超の漏えい等——に該当する事案について、個人情報保護委員会への報告と本人への通知が義務化されている。報告期限は速報が概ね3〜5日以内、確報が30日以内(不正アクセス等は60日以内)である。注意すべきは、不正アクセスによる「おそれ」の段階で報告対象になりうることだ。つまり発覚直後、被害の全容が見えないうちから報告要否の判断が走る。誰がこの判断を行い、いつ経営と法務に上げるのかが決まっていない会社は、調査を優先して期限を踏み越えるか、判断材料のないまま場当たりの報告をするかの二択に追い込まれる。検知から72時間で何を判断すべきかは個人情報漏えい72時間の判断フローで整理している。
実例:初動の決断ができた例——コタ社の適時開示にみる遮断と事業継続
初動の決断がどういうものかを示す公表事例として、東証プライム上場のコタ株式会社の適時開示をみたい。同社は2026年6月5日の第4報で、外部からの不正アクセスにより一部のサーバおよび社内PC端末等がランサムウェアに感染し、データ等が暗号化されていたと公表した。
| 時点 | 内容 |
|---|---|
| 2026年3月27日 | 一部の社内PC端末に動作不良を確認。即座に社内調査を実施 |
| 2026年3月30日 | 第1報(サイバー攻撃によるシステム障害の公表) |
| 2026年4月2日/4月15日 | 第2報/第3報 |
| 2026年6月5日 | 第4報(ランサムウェア感染・データ暗号化の判明、経緯・対応等) |
開示によれば、同社はPC端末の動作不良を確認したのち即座に社内調査を行い、第三者による不正アクセスが確認されたため、被害を最小限にとどめるために全サーバ・全社内PC端末等をネットワークから遮断する措置を講じた(遮断の具体的な日付は開示文に明記がなく、当日遮断とは断定できない)。全サーバ・全PCの遮断は業務への影響が大きい重い決断だが、同社はそれを実行し、かつ開示では、システム障害発生後も製品の生産・受注・出荷業務は継続できているとしている。個人情報の漏えい等の被害は第4報時点では確認されていない(調査は継続中)。
ここから読み取れるのは二つである。第一に、「全部止める」という重い初動を決断できる体制があったこと。第二に、止めても中核業務が続く事業継続の備えがあったことだ。逆にいえば、遮断の決断ができない会社、止めたら事業全体が停止する会社は、有事に「止める」選択肢そのものを失う。発覚(3月27日)から確報となる第4報(6月5日)まで約2か月余りを要しており、初動の後も長期戦が続くことも押さえておきたい。詳細はコタ社の開示に学ぶ初動と事業継続で扱っている。
初動フローのテンプレート:検知→遮断→保全→報告→意思決定
初動フローは、次の5段で型化し、各段の「主な行動」と「平時に決めておくこと」をセットで文書化する。有事に考えるのは判断の中身だけにし、判断の枠組みと担当は平時に決めておくのが原則である。
| 段階 | 主な行動 | 平時に決めておくこと |
|---|---|---|
| 1. 検知 | 異常をインシデント候補として扱い、責任者へ電話で一報する | 一報の宛先と連絡手段(メール以外の二重ルート)、「迷ったらインシデント扱い」の基準 |
| 2. 遮断 | 被害端末・セグメントをネットワークから隔離する | 誰の判断でどこまで遮断できるか(深夜・休日の代行権限を含む)、遮断で止まる業務と代替手段 |
| 3. 保全 | 電源を切らずに証拠を保全し、対応記録をタイムスタンプ付きで開始する | 保全の手順と禁止事項(自己判断での再起動・復旧の禁止) |
| 4. 報告 | 経営層への第一報と、個人情報保護委員会・警察・保険会社など外部報告の要否判断を行う | 報告対象の基準と期限、外部連絡先リスト、報告様式のテンプレート |
| 5. 意思決定 | 復旧の優先順位、対外公表、外部専門家への支援要請を決める | 意思決定者と対策本部の招集基準、判断に必要な情報の様式 |
このうち3の保全は、本稿では「電源を切らない・自己判断で触らない・記録を残す」という原則の確認に留める。復旧を優先するあまりログや端末を初期化してしまい、原因特定も法定報告もできなくなる失敗は、連載第12回の復旧優先で証拠保全を壊す失敗で深掘りする。
このフローを回す体制は、専任部隊である必要はない。CSIRT責任者(意思決定・外部報告)、技術担当(検知・分析・技術対応)、連絡・記録担当(連絡フロー実行・記録・法的対応)の最小3名から構築でき、全員が管理部長や情シス担当、総務との兼任で問題ない。重要なのは「誰が何をするか」が事前に決まっていることである。体制づくりの手順は中小企業CSIRT構築ガイドを、外部の専門家を交えた体制設計はCSIRT構築支援を参照されたい。
点検の具体策:自社の初動・報告フローを確かめるチェックリスト
自社の初動が「場当たり」かどうかは、次の項目で点検できる。一つでも答えに詰まるなら、その箇所が有事の判断の空白になる。
- 深夜・休日に兆候を見つけた場合の第一報の宛先と連絡手段が決まっているか(不在時の代行者まで)。
- ネットワーク遮断を誰の判断で実行できるか、権限と範囲が文書化されているか。
- 遮断したときに止まる業務と、その代替手段を把握しているか。
- 発見者がやってはいけないこと(電源断・再起動・自己判断での復旧)が全社に周知されているか。
- 経営層へ上げる基準(疑いの段階で上げるのか、確定後か)が決まっているか。
- 個人情報漏えい時の報告対象となる事案類型と、速報・確報の期限を、判断する担当者が把握しているか。
- 警察・個人情報保護委員会・サイバー保険会社・顧問弁護士・対応ベンダーの連絡先リストが最新化されているか。
- メールが使えない前提の連絡手段(電話・SMS等の二重ルート)が用意されているか。
- 以上を机上のシナリオ訓練で実際に回し、手順書を更新しているか。
手順書のひな形と72時間のタイムラインはインシデント対応フローのテンプレートに詳しい。自社だけで初動手順を作り切れない場合や、有事に駆け付ける外部体制を平時に確保しておきたい場合は、インシデント対応支援で初動設計から支援している。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第1回:EDRを入れて「対策済み」と思い込む失敗
- 第12回:復旧優先で証拠保全を壊す失敗
- セキュリティインシデント対応完全ガイド|発生から報告までのフロー・テンプレート
- 中小企業CSIRT構築ガイド|最小3名体制でインシデント対応力を強化する方法
- インシデント対応支援
- CSIRT構築支援
よくある質問
Q1. 深夜にランサムウェアの兆候を見つけたら、まず何をすべきか。
被害の横展開を止めるため、該当端末をネットワークから隔離することが最優先である。このとき電源は切らず、証拠を保全したうえで、決められた責任者へ電話で一報する。自己判断での再起動や復旧は証拠を消し、原因特定を困難にするため行わない。これらを「その場で考える」のではなく、宛先と手順を平時に決めておくことが本稿の主題である。
Q2. ネットワーク遮断は業務が止まるが、それでも即断すべきか。
遮断の遅れは暗号化の横展開を許し、結果として業務停止の範囲と期間を広げる。だからこそ、遮断の権限者と範囲を平時に決め、即断できる状態を作っておくべきである。コタ社の開示では、全サーバ・全社内PC端末等の遮断という重い措置を講じつつ、生産・受注・出荷業務は継続できているとされており、止めても中核業務が続く備えが遮断の決断を支える。遮断で止まる業務と代替手段の把握が、即断の前提条件になる。
Q3. 個人情報の漏えいが疑われる場合、いつまでにどこへ報告するのか。
要配慮個人情報の漏えい等、不正アクセス等によるおそれ、財産的被害のおそれ、1,000人超の漏えい等に該当する事案は、個人情報保護委員会への報告と本人通知が義務化されている。期限は速報が概ね3〜5日以内、確報が30日以内(不正アクセス等は60日以内)である。不正アクセスによる「おそれ」の段階で対象になりうるため、発覚直後から報告要否の判断が必要になる。詳細な条件は個人情報保護委員会のガイドラインを必ず参照されたい。
Q4. 専任のセキュリティ担当がいない会社でも初動体制は作れるか。
作れる。CSIRT責任者・技術担当・連絡・記録担当の最小3名体制から構築でき、全員が既存役職との兼任で問題ない。重要なのは専任者の有無ではなく、誰が遮断を決め、誰がどこへ報告するかが文書として決まっていることである。手順書と連絡先リストを整え、年に一度でもシナリオ訓練で回せば、対応の速度は大きく変わる。社内だけで難しければ外部のインシデント対応支援を平時に確保する選択肢もある。
インシデントの初動は、起きてから考えると必ず遅れる。自社の遮断権限・報告ルート・経営エスカレーションを点検し、初動フローと報告体制を整えたい場合は、無料相談から現状の体制と手順書の有無をお聞かせいただきたい。初動手順づくりからCSIRT構築、有事の対応支援まで一緒に設計する。
出典
- コタ株式会社「サイバー攻撃によるシステム障害発生のお知らせ(第4報)」(適時開示・2026年6月5日)
- コタ株式会社 適時開示(第1報 2026年3月30日〜第4報 6月5日。日経 適時開示インデックス)
- 個人情報保護委員会 漏えい等の対応
- CISA Incident Response
- NIST Computer Security Incident Handling Guide SP 800-61 Rev.2
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」(報告対象事案・速報/確報期限の整理は個人情報漏えい72時間の判断フローに基づく)
- ※ コタ社に関する記述は同社の適時開示の範囲に基づく。ランサムウェアの種別・攻撃者・侵入経路、被害の具体的な範囲は開示されておらず、本稿でも断定しない。