「もし今、ランサムウェアでファイルが暗号化されたら、最初の 1 時間で誰が何をしますか?」――この問いに即答できないなら、あなたの会社はまだ「演習」をしていません。 手順書を作ること自体は大切ですが、書いただけで一度も訓練していない手順書は、いざというときに動きません。連載第 9 回でバックアップの「本物リストア演習」の重要性を、連載第 12 回でロールバックの「実演」の必要性を取り上げましたが、それらと同じことが、組織全体のインシデント対応にも当てはまります。
本記事は、連載「バイブコーディング危機」第 13 回・防衛策の実装編として、専任のセキュリティ専門チーム(CSIRT)を持たない中堅企業が、兼務の担当者だけで年 1 回・90 分のテーブルトップ演習を回すための実践手順を整理します。テーブルトップ演習(机上訓練)とは、実際にシステムを止めたり攻撃を再現したりせず、会議室で「もしこうなったら」というシナリオを読み上げ、参加者が判断と対応を口頭で進めていく形式の訓練です。設備も大きな予算もいりません。必要なのは、シナリオ・役割表・進行表・評価シートという、A4 数枚のパッケージだけです。
経済産業省の「サイバーセキュリティ経営ガイドライン」でも、経営者が実施させるべき重要 10 項目の中に、**インシデント発生時の緊急対応体制の整備(指示 7)と、事業継続・復旧体制の整備(指示 8)**が挙げられており、復旧対応の演習を日頃から実施することが求められています(経済産業省: サイバーセキュリティ経営ガイドライン)。本記事は、その「演習」を中堅企業の現実に落とし込む具体策です。
目次
なぜ「手順書だけ」では本番で動けないのか
インシデント対応の手順書(インシデント対応計画)を整備している中堅企業は増えています。しかし、その手順書が 本番のインシデントで実際に機能するかは、別の問題です。
書いただけの手順書は「読まれないまま」眠る
手順書を作った直後は内容を覚えていても、半年もすれば誰も中身を覚えていません。連絡先が古くなっていたり、退職した担当者の名前が残っていたり、想定していなかった事態に対応できなかったりします。演習をしないと、手順書は「作った安心感」だけを残して形骸化します。
演習でしか見つからない「穴」がある
JPCERT/CC の CSIRT マテリアルでも、演習によって検証することで、インシデント対応計画における課題を洗い出し、改善につなげることができると説明されています(JPCERT/CC: CSIRTマテリアル)。たとえば次のような「穴」は、机上で一度シナリオを回さないと見つかりません。
-
夜間・休日に誰が一次対応の判断をするのか決まっていない
-
経営層への報告ルートが曖昧で、判断が遅れる
-
外部(顧問・ベンダー・JPCERT/CC・警察)への連絡先が分からない
-
「いつ・誰が・どう公表するか」が決まっていない
-
バックアップから戻す担当が、実は手順を知らない
これらは、実際にインシデントが起きてから気づくと致命傷になりますが、年 1 回の机上訓練なら、コストをかけずに事前に発見できます。
バイブコーディング環境ではとくに重要です
連載でここまで見てきたように、AI に書かせた自社システムは、ログがない・監視がない・ドキュメントがない、という状態になりがちです(連載第 6 回・第 8 回)。何が起きているか分からない状態でインシデントに直面する確率が高いからこそ、「分からないなりに、誰が・何を・どの順で判断するか」を事前に訓練しておく価値が大きいのです。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
中堅企業のCSIRTは「兼務 + 外部連携」で十分
CSIRT(Computer Security Incident Response Team=インシデント対応チーム)と聞くと、専任の専門家集団を想像しがちですが、中堅企業ではそれは現実的ではありません。
まずは「役割」を決めることから
JPCERT/CC の CSIRT マテリアルは、CSIRT の構想・構築・運用の各フェーズを解説しており、経営層の承認とサポートによるトップダウンのアプローチが、幅広い部門の参加を集めるうえで有効だとしています(JPCERT/CC: CSIRTマテリアル)。中堅企業では、専任チームを作るのではなく、既存の社員に「インシデント時の役割」を割り当てることから始めます。
| 役割 | 兼務する人の例 | 主な責務 |
|---|---|---|
| 指揮者(インシデント責任者) | 情シス部長・経営層 | 全体の判断・優先順位づけ・公表判断 |
| 技術対応 | 情シス担当・開発担当 | 切り分け・隔離・復旧作業 |
| 連絡・記録 | 総務・情シス | 時系列の記録・社内外への連絡 |
| 外部連携 | 情シス・経営層 | 顧問・ベンダー・JPCERT/CC・警察への連絡 |
専門知識が足りない部分は、外部の顧問(外部 CTO・vCISO、連載第 14 回参照)や、契約しているセキュリティベンダーと連携して補います。重要なのは「自社だけで全部やる」ことではなく、「誰に・どの順で・どうつなぐか」を決めておくことです。
国の支援サービスも活用できます
IPA は、中小企業向けに **「サイバーセキュリティお助け隊サービス」**という、サイバー攻撃対策に必要なサービスを安価にまとめて受けられる制度を、経済産業省とともに整備しています(IPA: 中小企業の情報セキュリティ対策ガイドライン)。自社にセキュリティ人材がいない場合、こうした外部サービスを「外部連携先」として演習のシナリオに組み込んでおくと、本番でも迷わずに連絡できます。
テーブルトップ演習とは何か(実機を止めない訓練)
テーブルトップ演習(机上訓練)は、実際のシステムを止めたり攻撃を再現したりせず、会議室で進められる訓練です。米 CISA(サイバーセキュリティ・インフラセキュリティ庁)も、組織が自らテーブルトップ演習を実施できるよう、テンプレートのシナリオ・進行手順・討議用の設問・評価レポートの雛形を含むパッケージ(CTEP)を無償で公開しています(CISA: Tabletop Exercise Packages)。
机上訓練の進め方(基本形)
-
状況提示:進行役が「今、こういう事態が起きました」とシナリオを読み上げる
-
判断と対応:参加者が役割に応じて「自分なら何をするか」を口頭で述べる
-
状況の進展:進行役が「30 分後、状況がこう変わりました」と新しい情報を加える(インジェクト)
-
討議:判断の根拠・連絡先・優先順位を全員で確認する
-
振り返り:終了後、見つかった課題を記録する
設備は会議室とホワイトボードだけで十分です。実機を触らないため、業務を止めずに、低コストで何度でも実施できるのが最大の利点です。
机上訓練・機能訓練・実動訓練の違い
| 種類 | 内容 | 中堅企業での位置づけ |
|---|---|---|
| 机上訓練(テーブルトップ) | 会議室でシナリオを口頭で進める | まずここから。年 1 回でも効果大 |
| 機能訓練 | 一部の手順(バックアップ復旧など)を実際に試す | 余裕が出たら追加(連載第 9 回) |
| 実動訓練 | 本番に近い環境で実際に対応を動かす | 専門支援を受けて段階的に |
中堅企業は、まず 机上訓練を年 1 回確実に回し、連載第 9 回で扱ったバックアップの本物リストアや、第 12 回のロールバック実演を、機能訓練として少しずつ足していくのが現実的です。
演習シナリオ5種(バイブコーディング環境向け)
シナリオは、自社で起こりうる事態を選びます。バイブコーディングで作った自社システムを持つ中堅企業向けに、連載で扱ってきたリスクと対応させた 5 種を挙げます。
シナリオ1:ランサムウェア感染(連載第6回)
ある朝、共有フォルダのファイルがすべて開けなくなり、身代金を要求する画面が表示される。どのシステムが影響を受けたか、ネットワークを切り離すべきか、バックアップから戻せるか、いつ・誰に公表するか――を討議します。CISA の「#StopRansomware Guide」には、検知・隔離・調査・通知・事後対応までの対応チェックリストがあり、シナリオ設計の参考になります(CISA: #StopRansomware Guide)。
シナリオ2:データ消失(連載第5回)
担当者が誤って DELETE FROM を WHERE 句なしで実行し、顧客データが消えた。バックアップは最後にいつ取れているか、復旧にどれくらいかかるか、その間の業務はどうするか――を討議します。
シナリオ3:業務AIへの情報漏洩(連載第18回・予定)
社員が取引先の機密契約書を外部の生成 AI に貼り付けて要約させていたことが発覚した。漏れた情報の範囲、取引先への報告、社内ルールの見直し――を討議します。
シナリオ4:個人情報の漏えい(連載第7回・第22回)
自社開発の Web フォームの不備で、登録者の個人情報が外部から閲覧できる状態だったことが判明した。何件・どの項目が漏れたか、個人情報保護委員会への報告(漏えい時の報告義務)、本人への通知をどう行うか――を討議します。
シナリオ5:退職者経由のアクセス(連載第19回・予定)
退職した元担当者のアカウントが削除されておらず、外部から社内システムにアクセスされた形跡がある。どのアカウントが残っているか、即時にどう止めるか、ログをどう確認するか――を討議します。
これら 5 種から、まずは自社で最も起こりそうな 1〜2 種を選んで演習します。すべてを 1 回でやる必要はありません。
役割表と90分のタイムライン
90 分の机上訓練は、次の進行で回せます。NIST SP 800-61 Rev.3(インシデント対応の推奨事項)は、検知・分析から対応・復旧、そして事後活動までを一連の流れとして整理しており、この流れをそのまま演習の骨格に使えます(NIST: SP 800-61 Rev.3)。
| 時間 | フェーズ | 内容 |
|---|---|---|
| 0〜10 分 | 準備・趣旨説明 | 進行役が目的・ルール・役割を共有 |
| 10〜25 分 | 初動(検知・分析) | シナリオ提示。誰が気づき、誰に報告し、どう切り分けるか |
| 25〜45 分 | 封じ込め・対応 | 隔離・停止の判断。インジェクト(状況進展)を 1 回投入 |
| 45〜65 分 | 復旧 | バックアップからの復旧手順・業務継続の判断 |
| 65〜80 分 | 報告・公表 | 経営層・取引先・監督官庁・公表の判断 |
| 80〜90 分 | 振り返り | 見つかった課題を全員で書き出す |
進行役(ファシリテーター)の役割
進行役は、シナリオを読み上げ、途中で **インジェクト(新しい状況情報)**を投入し、議論が止まったら問いを投げかけます。「正解を教える人」ではなく、「参加者に考えさせ、課題を引き出す人」です。社内に適任がいない場合は、外部の支援者に進行役を依頼することもできます。
経営層を必ず巻き込みます
JPCERT/CC のマテリアルが強調するとおり、演習には 経営層やシニアマネージャーを含む、対応に関わる全部門が参加対象です(JPCERT/CC: CSIRTマテリアル)。公表の判断や、身代金要求への対応方針は、現場だけでは決められません。経営層が演習に参加することで、本番での判断もスムーズになります。
評価シートと改善PDCA
演習は「やって終わり」では意味がありません。見つかった課題を記録し、手順書と体制を改善するところまでが演習です。
評価シート(A4 1枚)
振り返りでは、次の観点で「できたこと・できなかったこと」を記録します。
-
検知:誰が・どうやって異常に気づいたか。気づける仕組みはあったか
-
報告:報告ルートは機能したか。遅れた箇所はどこか
-
判断:隔離・停止・公表の判断は誰が・どの基準で行ったか
-
連絡:外部連絡先(顧問・ベンダー・JPCERT/CC・警察・監督官庁)は把握できていたか
-
記録:時系列の記録は残せたか
-
復旧:バックアップから戻せるか、手順を知っているか
改善PDCAを回す
評価で見つかった課題を、期限と担当を決めて手順書に反映します。次のように整理すると、改善が進みます。
| 見つかった課題 | 改善アクション | 担当 | 期限 |
|---|---|---|---|
| 夜間の一次判断者が未定 | 当番表を作成 | 情シス | 1 ヶ月以内 |
| JPCERT/CC の連絡先が不明 | 手順書に連絡先を追記 | 情シス | 2 週間以内 |
| 経営層への報告基準が曖昧 | 報告基準を 3 段階で定義 | 経営層 | 1 ヶ月以内 |
この「演習 → 課題抽出 → 改善 → 次回演習で検証」のサイクルが、経済産業省ガイドラインの言う **PDCA による継続的改善(指示 6)**そのものです(経済産業省: サイバーセキュリティ経営ガイドライン)。
年間スケジュールへの組み込み方
演習を「思い出したときにやる」状態だと、結局やらないまま 1 年が過ぎます。年間スケジュールに固定で組み込むことが、継続のコツです。
-
時期:繁忙期を避け、毎年同じ月に固定する(例:毎年 6 月)
-
頻度:まずは年 1 回・90 分から。慣れたら半年に 1 回へ
-
準備:1 ヶ月前に日程を確保し、2 週間前にシナリオを準備
-
記録:実施記録と評価シートを保管し、次回の出発点にする
連載第 9 回のバックアップ復旧演習、第 12 回のロールバック実演とあわせて、**「年 1 回のセキュリティ点検デー」**として束ねると、関係者の予定も押さえやすくなります。
中堅・中小企業が陥りやすい5つの失敗
1. 手順書を作って満足し、演習をしない
最も多いパターンです。書いただけの手順書は本番で動きません。年 1 回でも机上で回すことが大切です。
2. 経営層が参加しない
公表や身代金対応の判断は経営層の責任領域です。現場だけで演習すると、本番で判断が止まります。
3. シナリオが現実離れしている
自社で起こりえない高度な攻撃を題材にすると、議論が空回りします。連載で扱った、自社で起こりうるシナリオから選びます。
4. 課題を記録せず、改善につなげない
演習で穴が見つかっても、記録して手順書に反映しなければ、次も同じところでつまずきます。評価シートと PDCA をセットにします。
5. 外部連携先を決めていない
「いざとなったら誰かに頼む」では、本番で連絡先が分かりません。顧問・ベンダー・JPCERT/CC・警察・お助け隊サービスなど、連絡先を事前に手順書へ書いておきます。
国内・国際の文脈:JPCERT・NIST・CISA・IPA
インシデント対応訓練の考え方は、国内外の主要な枠組みで共通しています。
JPCERT/CC「CSIRTマテリアル」
JPCERT/CC は、CSIRT の構築・運用の知見をまとめた CSIRT マテリアルを無償で公開しており、インシデント対応演習の実施についての参考資料も含まれています(JPCERT/CC: CSIRTマテリアル)。中堅企業が自社で演習を設計する際の、最も身近な国内の一次ソースです。
NIST「SP 800-61 Rev.3」
米 NIST のインシデント対応ガイドは、2025 年 4 月に Rev.3 として 13 年ぶりに改訂され、対応の流れを NIST サイバーセキュリティフレームワーク(CSF)2.0 の 6 機能(統治・識別・防御・検知・対応・復旧)に対応づけて整理しました(NIST: SP 800-61 Rev.3)。演習のタイムライン設計の土台になります。
CISA「Tabletop Exercise Packages(CTEP)」
CISA は、ランサムウェアやインサイダー脅威など 100 種類以上のシナリオを含む、無償のテーブルトップ演習パッケージ(CTEP)を公開しています(CISA: Tabletop Exercise Packages)。シナリオや評価レポートの雛形として参考にできます。
IPA・経済産業省
IPA の「中小企業の情報セキュリティ対策ガイドライン」は、インシデント対応体制の整備と定期的な訓練を求めており、お助け隊サービスなどの外部支援も案内しています(IPA: 中小企業の情報セキュリティ対策ガイドライン)。経済産業省のサイバーセキュリティ経営ガイドラインも、緊急対応体制の整備と演習を経営者の責務として挙げています(経済産業省)。
よくある質問(FAQ 10問)
Q1. セキュリティ専門の社員がいなくても、演習はできるのでしょうか?
A. できます。テーブルトップ演習は、会議室でシナリオを読み上げて口頭で対応を進める形式なので、専門設備は不要です。専門知識が足りない部分は、外部の顧問やベンダーを「外部連携先」としてシナリオに組み込むことで補えます。
Q2. 演習にはどれくらいの時間と費用がかかりますか?
A. 机上訓練は 90 分から始められ、必要なのは会議室とホワイトボード程度です。シナリオは JPCERT/CC や CISA の公開資料を参考に自作できるため、追加費用をかけずに実施できます。
Q3. 何人くらいで実施すればよいでしょうか?
A. 指揮者・技術対応・連絡記録・外部連携の役割が埋まる 4〜6 名程度が目安です。経営層を必ず 1 名以上含めてください。
Q4. シナリオは何から選べばよいですか?
A. 自社で最も起こりそうなものから選びます。バイブコーディングで自社システムを持つ企業なら、ランサムウェア(連載第 6 回)・データ消失(第 5 回)・個人情報漏えい(第 7 回・第 22 回)あたりが現実的です。
Q5. 年1回で本当に足りるのでしょうか?
A. まずは年 1 回を確実に回すことが出発点です。手順書の穴の多くは初回で見つかります。慣れてきたら半年に 1 回へ増やし、機能訓練(バックアップ復旧など)を足していくのが理想です。
Q6. 経営層を巻き込むのが難しいのですが、どうすればよいですか?
A. 公表判断や身代金対応は経営の責任範囲であることを、経済産業省ガイドラインの「重要 10 項目」を根拠に説明すると、参加の動機づけになります。90 分という短時間に絞ることも、参加のハードルを下げます。
Q7. 演習の記録は、どのように残せばよいですか?
A. A4 1 枚の評価シートに「できたこと・できなかったこと」を書き出し、見つかった課題を担当と期限つきで一覧化します。実施記録は次回の出発点として保管します。
Q8. バイブコーディングで作ったシステムは、演習でどう扱えばよいですか?
A. 「ログがない・監視がない・ドキュメントがない」前提でシナリオを組むのが現実的です。情報が乏しい中でどう判断するかを訓練することで、本番でも慌てずに動けます。
Q9. JPCERT/CC や警察には、どのタイミングで連絡すればよいですか?
A. 連絡基準と連絡先を、演習を通じて手順書に明記しておくことが重要です。実害が疑われる段階での相談先として、JPCERT/CC・警察(サイバー犯罪相談窓口)・契約ベンダーを事前にリスト化します。
Q10. 演習で見つかった課題が多すぎて、対応しきれません。どうすればよいですか?
A. 課題は「影響の大きさ × 起こりやすさ」で優先順位をつけ、上位から期限つきで対応します。すべてを一度に直す必要はなく、次回の演習までに上位を潰す、というサイクルで十分です。
参考一次ソース
まとめ
-
手順書は 書いただけでは本番で動きません。演習でしか見つからない「穴」があります
-
中堅企業の CSIRT は **専任チームではなく「兼務 + 外部連携」**で十分です。まず役割を決めます
-
**テーブルトップ演習(机上訓練)**なら、会議室とホワイトボードだけで、業務を止めずに低コストで実施できます
-
シナリオは 自社で起こりうる 1〜2 種(ランサムウェア・データ消失・個人情報漏えいなど)から選びます
-
90 分のタイムラインを、検知 → 封じ込め → 復旧 → 報告 → 振り返りの流れで回し、経営層を必ず含めます
-
演習は 評価シートと PDCA で改善につなげるところまでが本体です
-
年間スケジュールに固定で組み込み、JPCERT/CC・NIST・CISA・IPA の公開資料を土台に毎年回します
「AI に書かせる」を続けるなら、「事故が起きたとき、誰が・何を・どの順で動くか」を、年 1 回の演習で確かめる。これが、バイブコーディングを安全に活用するための、組織の備えとしての第一歩です。
インシデント対応訓練・体制づくりを相談したい方へ
GXO の セキュリティ顧問(リテーナー)サービスでは、中堅企業向けに次のようなご相談を承っています。
-
インシデント対応計画の整備:自社の体制・連絡ルート・判断基準の文書化
-
テーブルトップ演習の設計・進行:シナリオ作成から進行役、評価レポートまで支援
-
CSIRT 兼務体制の設計:既存社員への役割割り当てと外部連携先の整理
-
演習後の改善 PDCA 伴走:見つかった課題の改善計画づくりと次回演習の検証
-
緊急時の連携体制づくり:顧問・ベンダー・JPCERT/CC・警察への連絡基準の整備
関連記事
著者: GXO株式会社 初回公開: 2026 年 6 月 2 日 最終更新: 2026 年 6 月 2 日 連載: バイブコーディング危機 第 13 回(全 30 回予定 / 第 3 週・防衛策の実装編)
