結論:「早く戻したい」初動は、保険金請求・法定報告・再発防止の三つを同時に潰す
ランサムウェア感染や不正アクセスに気づいた瞬間、現場が最初にやりたくなるのは「元に戻す」ことである。感染端末を初期化する、再起動する、バックアップを感染環境にそのまま上書きで戻す——だが、これらはすべて不可逆の操作であり、侵入経路と影響範囲を示す証拠を消してしまう。証拠が消えた被害は、保険でも、法対応でも、再発防止でも立証のしようがない。復旧と保全は対立する目標ではなく、順序の問題である。
- 感染端末の初期化・再起動・上書き復旧は、メモリ上の情報やログ、攻撃の痕跡を消す不可逆の操作である。
- 証拠がなければサイバー保険の請求で被害と費用を立証できない。保険会社の同意なしに復旧を発注することも典型的な免責事由になる。
- 個人情報保護委員会への確報は原因分析と影響範囲の確定を求める。ログが消えていれば「影響範囲不明」のまま提出する事態に陥る。
- 侵入経路が特定できなければ塞げず、同じ経路から再侵入される。再発防止策も書けない。
- 隔離は「ネットワーク遮断」で行い、電源は切らない。これだけで保全と封じ込めは両立できる。
この連載「セキュリティ対策の失敗図鑑」は、中堅・中小企業がつまずきやすいセキュリティの失敗を類型別に分解してきた。最終回となる本稿が扱うのは、初動のうち「保全と復旧の優先順位」である。初動・報告フローの全体像は第5回の初動・報告フロー未整備の失敗で扱ったが、本稿はその中で最も不可逆な一点、「証拠を残してから戻すか、消してから戻すか」に絞る。また、安心して保全に時間を使えるかどうかはバックアップの健全性に依存するため、第2回のバックアップがランサムと一緒に暗号化される失敗と表裏の関係にある。
なぜ「復旧優先」が証拠を壊すのか
現場心理は必ず復旧に傾く
インシデント発生時、経営層は「いつ戻るのか」を問い、現場は止まった業務の重さを浴びる。この圧力の下では、「初期化すれば今日中に使える」という選択肢が圧倒的に魅力的に見える。だがインシデント対応の初動ガイドが最も重要なルールとして示すのは、「発見者が自己判断で復旧しようとしないこと。証拠が消え、原因特定が困難になる」である。復旧をどう急ぐかは、証拠を保全した後に考える論点であって、保全の前に手を付ける論点ではない。
初期化・再起動・上書きは不可逆である
証拠保全の対象は、メモリダンプ・ディスクイメージ・スクリーンショットといった「その時点にしか存在しない情報」を含む。電源を切れば、メモリ上に残っていた攻撃の痕跡は失われ、メモリダンプは二度と取れない。初期化すればディスク上のログとマルウェアの実体が消え、感染した環境に上書きで復旧すれば、何が改ざんされ何が持ち出されたのかを比較する元データがなくなる。攻撃を受けたこと自体はやり直せるが、消した証拠はやり直せない。
「隔離」と「電源断」を混同する
封じ込めのために必要なのはネットワークからの切り離しであって、電源を落とすことではない。初動ガイドでは、最優先のアクションを「被害端末をネットワークから切断する(LANケーブル抜線、Wi-Fi OFF)」、次いで「証拠を保全する(電源は切らない。画面のスクリーンショットを撮影)」と整理している。つまり横展開はネットワーク遮断で止まり、証拠は通電したまま残せる。この区別を知らないまま「とにかく電源を切れ」と指示する手順書は、封じ込めと引き換えに証拠を捨てている。なおサーバの隔離自体にも揮発性の証拠を失うリスクが伴うとされるため、遮断の操作と並行してタイムスタンプ付きの記録とスクリーンショットを残すことが前提になる。
証拠が消えると何で詰むのか——三正面の行き詰まり
サイバー保険:被害と費用を立証できない
サイバー保険の請求実務は、サイバー保険×インシデント対応の請求実務で整理したとおり、事故覚知後の保険会社への通知(24時間以内が一般的な義務)に始まり、保険会社の同意取得、証拠保全(ログ・画像・通信記録)、中間報告書、復旧費用の領収書整理、最終請求と続く。証拠保全はこの流れの中核であり、ログも画像も残っていなければ、何が起き、どの費用が事故に起因するのかを示せない。さらに「保険会社の同意なしの発注は対象外」が典型的な免責事由とされており、焦って復旧ベンダーへ発注してから保険会社に連絡する順序の誤りは、それ自体が補償を失う原因になる。身代金要求を受けた場合も同様で、身代金の支払い判断フレームが示すように、保険の事前承認なしに支払うと補償対象外となるケースがあるため、弁護士・警察・保険・復旧の4視点を並行で確認する建付けになっている。
個人情報保護法:確報が「影響範囲不明」のまま
改正個人情報保護法では、不正アクセス等で漏えいのおそれが生じた場合などは個人情報保護委員会への報告対象となり、速報はおおむね3〜5日以内、確報は30日以内(不正アクセス等は60日以内)とされる。詳細は72時間対応の決定フローで整理しているが、確報で問われるのは原因分析と影響範囲の確定である。ログが初期化で消えていれば、どのデータが、何件、どの経路で影響を受けたのかを狭める材料がなく、「不明」のまま最大範囲を想定した本人通知と公表に追い込まれる。2026年改正では課徴金制度も導入され、重大な違反には違反に関連する売上の一定割合が金銭的制裁として科されるため、報告義務を果たせないことのリスクは従来より格段に重い。
再発防止:経路が分からなければ塞げない
侵入経路が特定できなければ、VPNか、メールか、退職者アカウントか、どこを塞げばよいのか分からない。再発防止策は「全般的に強化します」という作文になり、同じ穴が開いたまま業務が再開される。攻撃者側から見れば、一度成功した経路が残っている企業は再侵入の有力候補である。証拠保全は過去の説明責任のためだけでなく、明日も攻撃され得る自社を守るための調査材料の確保でもある。
実例:遮断しつつ事業を止めなかったコタ社
東証プライム上場のコタ株式会社は2026年3月27日に社内PC端末の動作不良を確認し、即座に社内調査のうえ、被害を最小限にとどめるため全サーバ・全社内PC端末等をネットワークから遮断する措置を講じたと開示している。外部専門家の調査を経て、ランサムウェア感染とデータ暗号化を公表する確報(第4報)は6月5日、発覚から約2か月余りである。注目すべきは、遮断という保全と封じ込めを優先しながら、製品の生産・受注・出荷業務は継続できているとした点だ(個人情報の漏えい等は第4報時点で未確認・調査継続)。詳細はコタ社の開示に学ぶ初動と事業継続で整理したが、「保全すると事業が止まる」のではなく、保全・封じ込め・事業継続は設計次第で両立し得ることを示す例である。
復旧と保全を両立する初動の手順表
保全と復旧は同時に走らせる。鍵は「不可逆な操作をどちら側にも入れない」ことである。
| 局面 | 保全側でやること | 復旧側でやること | やってはいけないこと |
|---|---|---|---|
| 発見直後 | 画面のスクリーンショット撮影。タイムスタンプ付きの対応記録を開始 | 被害端末をネットワークから遮断(LANケーブル抜線・Wi-Fi OFF) | 電源断・再起動・初期化・ウイルス駆除の実行 |
| 数時間以内 | ログ・通信記録の確保。フォレンジック調査の要否を判断 | 影響を受けたシステムの一覧化と業務影響の把握 | 感染端末でのログイン・操作の継続 |
| 24時間以内 | 保険会社へ通知し、調査・ベンダー手配の同意を取る | 代替手段で中核業務を維持。復旧計画の策定 | 保険会社の同意なしの復旧発注 |
| 保全完了後 | 証拠一式(イメージ・ログ・記録)を調査用に確保 | クリーンなバックアップから別系統へ復元し、正常性を確認 | 感染環境への上書き復元、原本ディスクの再利用 |
この表の本質は、復旧側の作業が一つも止まっていないことである。遮断・業務影響の把握・代替手段・復旧計画は、証拠に一切触れずに進められる。証拠に触れる操作(初期化・再構築・端末の再利用)だけを、保全の完了後に回せばよい。
発注前・点検の具体策(チェックリスト)
この失敗は技術力ではなく、平時に手順と前提を決めていたかどうかで決まる。次の点を点検したい。
- 初動手順書に「電源を切らない・初期化しない・再起動しない」と明記し、隔離の手段を「ネットワーク遮断」と定義しているか。
- 発見者が自己判断で復旧せず、エスカレーションする連絡先と手順が決まっているか。
- アクセスログの保存期間を最低180日に設定し、端末の外にもログが残る構成になっているか。
- サイバー保険の通知期限(24時間以内が一般的)と、調査・発注に保険会社の同意が要ることを、手順書に組み込んでいるか。
- 保険のIRベンダー指定方式(指定・パネル・自由選択)を確認し、有事に呼ぶ調査先と整合させているか。
- クリーンなバックアップから「別系統へ」復元できる設計か(感染環境への上書きを前提にしていないか)。
- フォレンジック調査を依頼できる外部窓口を平時に確保しているか。
- インシデント訓練のシナリオに「保全と復旧の優先順位」の判断を含めているか。
なおフォレンジック調査の費用は中小企業向けの目安で50万〜200万円程度とされ、サイバー保険でカバーされるケースが多い。「調査費が惜しいから初期化して済ませる」という判断は、保険・法対応・再発防止で失う金額と比べれば、ほぼ常に割に合わない。
連載のまとめ:12の類型に共通するのは「入れたか」ではなく「設計したか」
本連載はEDRの導入を対策完了と思い込む失敗に始まり、バックアップの隔離不足、VPNパッチの先送り、サプライチェーンを契約で縛らない失敗、初動フロー未整備、正常性バイアス、退職者アカウント放置、MFAの役員例外、予算ゼロ査定、クラウド設定ミスの棚卸し不在、形骸化した訓練、そして本稿の証拠保全まで、12の失敗類型を見てきた。全類型に共通するのは、製品やツールを「入れたかどうか」ではなく、運用・例外・優先順位・有事の意思決定を「設計したかどうか」で被害が分かれるという構造である。自社がどの類型に当てはまるかは、特集トップ:セキュリティ対策の失敗図鑑から全12回を一覧で点検してほしい。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第2回:バックアップがランサムと一緒に暗号化される失敗
- 第5回:初動・報告フロー未整備の失敗
- セキュリティインシデント対応完全ガイド|初動フロー・テンプレート
- サイバー保険×インシデント対応の統合設計と請求実務
- ランサム身代金の支払い判断フレーム(弁護士・警察・保険・復旧)
- フォレンジック調査支援
- インシデント対応支援
よくある質問
Q1. 感染端末の電源は、なぜ切ってはいけないのか。
電源を切るとメモリ上に残っていた攻撃の痕跡が失われ、メモリダンプによる調査ができなくなるためである。封じ込めに必要なのは電源断ではなくネットワークからの切り離しで、LANケーブルの抜線とWi-Fiオフで横展開は止められる。電源は入れたまま、画面のスクリーンショットとタイムスタンプ付きの記録を残すのが初動の基本である。
Q2. ネットワーク遮断をすると業務が止まるが、それでも遮断すべきか。
遮断の遅れは被害範囲の拡大に直結するため、被害端末の遮断は最優先である。一方で、遮断と事業継続は両立し得る。コタ社の事例では全サーバ・全社内PC端末等の遮断を講じながら、生産・受注・出荷業務は継続できたと開示されている。止められない中核業務を平時に特定し、システム障害時の代替手段を設計しておくことが分かれ目になる。
Q3. フォレンジック調査は中小企業にも必要か。
個人情報の漏えいが疑われる場合や被害範囲が不明な場合は強く推奨される。調査結果は個人情報保護委員会への報告や保険請求の根拠になる。費用は中小企業向けの目安で50万〜200万円程度とされ、サイバー保険でカバーされるケースが多い。調査を省いて初期化すると、報告・請求・再発防止のすべてで根拠を失う。
Q4. すでに初期化・復旧してしまった場合はどうすればよいか。
原因特定は困難になるが、できる範囲で対応する。フォレンジック業者に相談し、残存するサーバ側ログやネットワーク機器の記録など、消えていないデータから可能な限り情報を抽出する。あわせて再発に備え、アクセスログの保存期間を最低180日に設定し、初動手順書に「初期化前に保全」を明記して同じ失敗を繰り返さない体制を作ることが重要である。
証拠保全は、保険金請求・法定報告・再発防止のすべての土台であり、最初の数時間の判断でしか守れない。初動手順書への「保全と復旧の優先順位」の組み込みや、フォレンジック・インシデント対応の平時からの備えを整えたい場合は、無料相談から自社の初動体制の点検を始めていただきたい。
出典
- コタ株式会社「サイバー攻撃によるシステム障害発生のお知らせ(第4報)」(適時開示・2026年6月5日)
- コタ株式会社 適時開示(第1報 2026年3月30日〜第4報 6月5日。日経 適時開示インデックス)
- NIST Computer Security Incident Handling Guide SP 800-61 Rev.2
- CISA Incident Response
- 個人情報保護委員会 漏えい等の対応
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」(漏えい等報告・本人通知の期限・対象。URLは記載元記事に準拠し記事名のみ記載)