2025.07.25

【令和7年度版】セキュリティインシデント対応（1/2）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、これまでに「クラウドサービス利用時の注意点」について解説してきました。

今回は実際に何か問題が生じた際に対応が求められるセキュリティインシデントについて、重要なポイントを分かりやすく、具体的な事例も交えてお伝えします。

１．セキュリティインシデントとは

まず、セキュリティインシデントの定義を確認しましょう。

セキュリティインシデントとは、情報漏えいやシステムの停止などセキュリティに関わる事故や出来事（事象ともいう）を指します。単に「インシデント」と呼ばれることもあります。

事故は、情報の漏えいや改ざん、破壊・消失、情報システムの停止などが挙げられます。

事象は、事故につながる可能性がある出来事です。メールを誤送信したが情報漏えいにはいたらなかった、あるいは誤送信しそうになったが送信する前に気づいた場合などです。

２．インシデント対応の必要性

インシデントが発生しないように様々な対策を取っていても、予期せぬインシデントが起こる可能性はあります。万が一インシデントが発生した場合には、被害や影響範囲が最小限になるようにし、事業を継続できるようにする必要があります。

３．インシデント発生時の想定被害

インシデントが発生した場合の被害には、直接的な被害と、間接的な被害があります。

　【直接的な被害】　攻撃者による不正送金や金銭要求

　　　　　　　　　対応人件費

　　　　　　　　　原因調査や復旧のための外部委託費

　　　　　　　　　復旧までの代替品費

　　　　　　　　　取引先や顧客への謝罪対応費

　　　　　　　　　法的対応のための弁護士費用　など

　【間接的な被害】　関係者への被害波及

　　　　　　　　　会社の信用低下

　　　　　　　　　事業停止による機会損失　など

実際にセキュリティインシデント対応を行った際の被害などを集計したデータでは、具体的な被害として最も多いのがデータの破壊（35.7%）、次いで多いのが個人情報の漏えい（35.1%）でした。インシデントに遭うと３割以上の企業で事業運営や信頼性に直結する被害が発生する事が想定されます。
また、約70%の企業が取引先への影響等の間接的な被害があったと回答しています。サプライチェーン全体でのサイバーセキュリティの不備は、企業自身のみならず取引先にも深刻な影響を及ぼす事が想定されます。※1

４．インシデント対応の目的

インシデントが発生したことで生じる被害とその影響範囲を最小限に抑え、迅速に復旧し、再発を防止することで、企業（組織）の事業が継続できるようにすることが目的です。

５．実際のインシデント対応

ここからは、実際にインシデントが発生した際にどのような対応が必要となるのか具体的なステップを説明していきます。

なお、インシデントの対応は、発生している事象・被害や影響範囲の大きさなどによって変わってきます。このため、インシデント対応時に下記情報をまとめて整理しておくことが大切です。

（１）インシデント対応時に整理すべき情報

インシデントの分類	情報漏えい、ウイルス感染、システム停止など
事業者の名称	事業者の名称（受託案件の場合は委託元）
責任者・担当者	本件に関する責任者及び担当者の所属、氏名
発覚日時	インシデントを認知（発見したり、通報を受けた）した日時
発生日時	調査で判明したインシデントの発生日時
発生事象	表面化している事柄、被害、影響など
対応経過	発生から現時点までの時系列での経過
想定原因	現時点で想定される直接的な原因
被害を受けたシステムの状況	被害を受けたシステムの概要と被害の詳細な状況
システム構成・運用状況	システムの物理的な所在場所 OSやアプリケーションとそれぞれのバージョン構成システムの構成図システムの運用状況使用しているセキュリティツールやサービスの利用状況

この中で、システム構成・運用状況はインシデントが発生してからでは整理できませんね。
普段から整理しておくようにしましょう。

それでは、いまからインシデント発生時の具体的な対応手順と内容を説明します。

（２）インシデント対応時のステップ１・２・３

＜ステップ１＞検知・初動対応

インシデントが疑われる兆候（疑わしい場合を含む）や実際の発生を発見した場合は、すぐに社内の連絡ルールに従って、情報セキュリティ責任者に報告します。ネットワークの遮断やシステムの停止を必要に応じて行い、被害の拡大を防ぎます。社外など外部から通報を受けた場合は、通報した人の連絡先を控えておくことも大切です。なお、メール誤送信などの場合は、起こってしまったことを報告しやすい社内風土を作ることも大切です。内部であれ、外部であれ、セキュリティインシデントは人による報告が早期発見につながるからです。※2

責任者への報告を済ませた後は、初動対応へと移ります。
ネットワークの遮断、情報や対象機器の隔離、システムやサービスの停止を必要に応じて行います。
このステップの発見時の社内連絡フロー、初動対応の手順は平常時に定めておくことが大切です。

■平常時に定める初動対応手順の例■
「あなたのパソコンはウイルスに感染しています」と警告が出た場合、サポート詐欺（ウイルス感染はない）の可能性、もしくはウイルス感染した可能性があります。全従業者が発生事象の調査や対応を判断する事は困難なため、下記対応を行ってください。※3

【実施事項】
・社内の情報システム部門への連絡
・ネットワークの遮断

【禁止事項】
・画面をクリックしない
・ソフトウェアをインストールしない
・個人情報を入力しない
・電話を掛けない
・指示に従わない

＜ステップ２＞報告・公表

インシデントの影響が広範囲に及ぶ場合、Webサイトやメディアを通じて公表します。
第一報では、公表することで被害の拡大を招かないように、公表する時期や内容などを考慮します。

第二報以降では、被害者や、影響を及ぼした取引先や顧客に対して、インシデントの対応状況や再発防止策等に関して報告します。また、被—害者に対する損害の補償等を必要に応じて行います。個人情報漏えいの場合は個人情報保護委員会、業法等で求められる場合は所管の省庁等、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合は独立行政法人情報処理推進機構（IPA）へ届け出ます。※2

■報告義務が発生する事項■
下記の要件に該当する場合、個人情報保護委員会への漏えい等報告が義務付けられています。※４

・要配慮個人情報が含まれる個人データの漏えい等（又はそのおそれ）
・不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等（又はそのおそれ）
・不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ（当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。）の漏えい等（又はそのおそれ）
・個人データに係る本人の数が1,000人を超える漏えい等（又はそのおそれ）
・条例要配慮個人情報が含まれる保有個人情報の漏えい等（又はそのおそれ）

その他、取引先との契約条件などに報告義務が課されている場合があります。今一度、情報漏えい等発生時に対応が必要な事項を洗い出しておきましょう。

＜ステップ３＞復旧・再発防止策

適切な対応や判断を行うために、5W1H（いつ、どこで、誰が、誰を、何を、なぜ、どうしたのか）の観点で状況を調査し情報を整理します。続いて、訴訟対応等を見越して事実関係を裏付ける情報や証拠を保全し、必要に応じてフォレンジック調査（パソコンのハードディスク、メモリ内データ、サーバーやネットワーク機器のログ等の調査）を行います。フォレンジック調査の後、復旧作業を実施し正しく修復できたことを確認出来たら停止したシステムやサービスを復旧させます。その後、再発防止策を講じ、同様のインシデントが再発しないようにします。例えば、新たなセキュリティツールの導入や従業員の教育強化などを行います。※2

■フォレンジック調査の種類■
フォレンジック調査を調査対象で分類して説明します。※5

コンピュータフォレンジック ※下記パソコンフォレンジックと比して、サーバー、IoT機器、スマートフォン等コンピュータ全般を対象とします。	コンピュータ機器を調査する。HDDやSSDなどのディスクに対する「ディスクフォレンジック」と、稼働中コンピュータのメモリデータに対する「メモリフォレンジック」に細かく分類される。
ネットワークフォレンジック	パケットキャプチャを用いて、ネットワークログやパケットデータを調査する。
モバイルデバイスフォレンジック	スマホ内の削除済みファイルや履歴データの復元調査にも対応し、携帯の証拠復元フォレンジックとして活用される。
データフォレンジック	削除済みファイルの復元や、改ざんされたデータの解析を行う。データ改ざんの有無を特定する際に利用される。
パソコンフォレンジック	社内のパソコン操作ログやアクセス履歴を対象に、不正アクセスや情報漏えいの痕跡、証拠としてのログ調査をする。

（３）ヒヤリハット事例の活用

「ヒヤリハット」とは、重大な事故には至らなかったものの、注意を怠れば事故に繋がりかねなかった事例を指します。日常業務でのヒヤリハット事例を収集し、共有することで、潜在的なリスクを把握し、予防策を講じることができます。

６．まとめ

セキュリティインシデントへの対策は、事前に発生時の対応手順を定めておくことが大切だとわかっていただけたでしょうか。また、定めた計画や手順どおりに実行できるかを実際にシミュレーションしておくこともとても大切です。また、対応手順は定期的な見直しと改善が重要です。

今回ご紹介したポイントを基に、皆さんの企業でも改めて対策を見直してみてください。
ヒヤリハット事例の収集と対策も忘れずに行いましょう。

なお、本稿は、IPAが発行しいている「中小企業の情報セキュリティ対策ガイドライン第3.1版」を中心に解説しています。セキュリティインシデント対応については、ガイドラインの「付録8 中小企業のためにセキュリティインシデント対応の手引き」にまとめられていますので、もっと詳しく知りたい方はそちらをご参照ください。

次回は、ランサムウェアに感染した場合を例にして、ステップを踏んだインシデント対応をより具体的に解説します。

※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。

※1出典：独立行政法人情報処理推進機構（IPA）
3.5.3　サイバーセキュリティに関する被害の状況
https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf

※2出典：独立行政法人情報処理推進機構（IPA）
https://www.ipa.go.jp/security/sme/f55m8k0000001wpz-att/outline_guidance_incident.pdf

※3出典：Cyber Security.com
https://cybersecurity-jp.com/contents/data-security/1465/

※4出典：個人情報保護委員会
https://www.ppc.go.jp/personalinfo/legal/leakAction/#business

※5出典：ITトレンド
https://it-trend.jp/forensic/article/forensics_basics