「セキュリティインシデントが発生したらどうすればいいですか」と社員に聞いたとき、答えられる社員が何人いるでしょうか。
手順書があっても、その場所を知らない・読んだことがない・存在自体を忘れている。これが多くの中小企業の実態です。インシデントはいつも突然起きます。パニック状態の現場で分厚い手順書を開いている時間はありません。
全社員が覚えるべき初動はたった2つです。マルウェア系ならネットワークを切る。情報漏洩系なら上司に報告する。この2つを全社員が反射的に動けるかどうかが、被害の大きさを決めます。
そしてこの2つを機能させるために、経営として事前に3つの「誰が」を決めておく必要があります。誰に報告するか・誰がネットワーク切断を判断するか・誰が外部報告をするか。この3つが決まっていなければ、初動の2つも機能しません。
本記事では、★3のインシデント対応要件を踏まえながら、中小企業が今日整備すべきインシデント対応手順の核心を解説します。
この記事でわかること
- ★3で求められるインシデント対応手順の要件
- 全社員が覚えるべき初動2つ
- Wi-Fi環境での切断方法と現実的な落とし穴
- 経営が事前に決める3つの「誰が」
- 経産省の手引きを使った手順書の作り方
- 形骸化を防ぐ仕組みの作り方
インシデント対応手順とは何か|中小企業が★3で求められる理由
セキュリティインシデントの種類
セキュリティインシデントとは、情報セキュリティ上の事故・問題が発生した状態です。中小企業で起きやすいインシデントは主に3種類です。
ランサムウェア・マルウェア感染: パソコンやサーバーが悪意あるプログラムに感染し、データが暗号化されたり業務システムが使えなくなる。11年連続で「情報セキュリティ10大脅威」の1位です。
情報漏洩: 顧客情報・財務データ・社員情報などが外部に流出する。メールの誤送信・不正アクセス・退職者による持ち出しなど原因は様々です。
システム停止: サイバー攻撃・ハードウェア障害・操作ミスにより業務システムが使えなくなる状態です。
★3の要求事項4-2-2・6-1-1で求められること
★3のインシデント対応に関する要求事項は2つあります。
4-2-2「セキュリティインシデント発生時の教育・訓練」: インシデントが発生した際に適切な対応ができるよう、社員に対して教育・訓練を実施することが求められます。手順書を作るだけでなく、社員が実際に動けることを求めています。
6-1-1「インシデント対応手順」: インシデント発生時の対応手順が文書化されていることが求められます。発生を認知してから報告・封じ込め・復旧・再発防止までの一連の流れが定められているかが確認されます。また復旧手順については、バックアップ実効性の確認|中小企業が見落とす基幹システムの盲点でも整理していますが、バックアップからどう業務を再開するかが手順書に含まれていないと★3の7-1-1の要件を満たせない可能性があります。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3は「文書があること」と「実際に機能すること」の両方が求められます。
インシデント対応手順で中小企業の全社員が覚えるべき初動は2つだけ
複雑な手順書より、全社員が反射的に動ける「2つの初動」を徹底することが現実的です。
初動①:マルウェア系→ネットワークを切る
ランサムウェア・マルウェアはネットワークを通じて他の端末に感染を広げます。感染の兆候に気づいた瞬間にネットワークを切り離すことで、被害の拡大を防げる可能性があります。初動の速さが被害規模を左右します。
具体的な方法:
| 接続環境 | 操作 |
|---|---|
| 有線LAN | LANケーブルを物理的に抜く |
| Wi-Fi(PC) | 画面右下のWi-Fiアイコンをオフにする |
| Wi-Fi(スマートフォン) | 機内モードにする |
| 全体を止める | Wi-Fiルーターの電源ケーブルを抜く |
なお電源は切らないことが重要です。メモリ上に証拠・ログが残っているため、電源を切ると復旧・調査に必要な情報が失われます。
Wi-Fi環境での切断の落とし穴
「Wi-Fiを切ってください」という指示が機能しない場合があります。
問題①:Wi-Fiルーターの場所を誰も知らない 中小企業では、Wi-Fiルーターがサーバー室・キャビネットの中・天井などに設置されており、場所を知っている社員が限られていることがあります。「ルーターの電源を抜く」という指示が出ても、誰も場所を知らなければ動けません。
問題②:PCのWi-Fi設定操作が分からない Windows・Macでそれぞれ操作方法が異なります。パニック状態では操作を間違える可能性があります。
現実的な解決策: ルーターの場所を全社員に周知しておく・Wi-Fiルーターの近くに「緊急時はここを抜く」というシールを貼っておく。シンプルですが最も確実な方法です。
初動②:情報漏洩系→上司に報告する(自己判断しない)
情報漏洩が疑われるとき、発見した社員が自己判断で対応しようとすることが最大のリスクです。「なかったことにしよう」「自分で調べよう」という判断が証拠を消したり対応を遅らせたりします。
全社員への周知事項は「何かおかしいと思ったら、すぐに上司に報告する。自己判断で対応しない。」この一文だけを徹底することが最も重要です。
インシデント対応手順より先に中小企業の経営が決める3つの「誰が」
全社員の初動2つが機能するためには、経営として事前に3つの「誰が」を決めておく必要があります。
「誰が」①:発見した社員は誰に報告するか
報告先が決まっていなければ、社員は誰に連絡すればいいか分かりません。
決めておくこと:
- 第一報告先(直属の上司・情シス担当・経営者)
- 担当者が不在のときの代替連絡先
- 夜間・休日の場合の対応
「とにかく○○さんの携帯に電話する」というレベルで具体的に決めておくことが重要です。
「誰が」②:初動判断(ネットワーク切断・業務停止)は誰が決めるか
ネットワークを切断すると業務が止まります。「勝手に切っていいのか」という迷いが初動を遅らせます。
決めておくこと:
- ネットワーク切断を判断する権限を持つ人(役職名・氏名)
- その人が不在のときの代行者
- 社員が自分で判断して切断してよい条件(例:ランサムウェアの画面が出たら即切断)
「ランサムウェアの画面が出た場合は、報告を待たずに即座にLANケーブルを抜いてよい」という形で、社員が自己判断できる条件を明示しておくことも有効です。
「誰が」③:外部への報告(取引先・個人情報保護委員会)は誰がするか
インシデントが発生したとき、外部への報告義務が発生する場合があります。
個人情報漏洩の場合: 個人情報保護法により、個人情報が漏洩した場合は個人情報保護委員会への報告義務があります。報告期限は事態を知ってから原則72時間以内です。
取引先への連絡の場合: 取引先のデータが影響を受けた可能性がある場合、早急な連絡が必要です。
これらの外部報告を「誰が・どのタイミングで・どの範囲まで」行うかを事前に決めておかないと、パニック状態での判断ミスが起きます。
インシデント対応手順書の作り方|経産省の手引きを活用する
経産省「中小企業のためのセキュリティインシデント対応の手引き」とは
経済産業省が中小企業向けに無料で公開している実践的なガイドラインです。情報漏洩・ウイルス感染・システム停止が発生した際の対応手順が「検知・初動対応」「報告・公表」「復旧・再発防止」の3フェーズに分けて整理されています。
中小企業のためのセキュリティインシデント対応の手引き|経済産業省
手順書に必ず入れる5項目
| 項目 | 記載内容 |
|---|---|
| ①報告ルート | 誰が→誰に→どうやって報告するか(電話番号含む) |
| ②初動判断者 | ネットワーク切断・業務停止の判断権限者と代行者 |
| ③ネットワーク切断方法 | LANケーブルの場所・ルーターの場所・操作手順 |
| ④外部報告先 | 個人情報保護委員会・警察・取引先への連絡手順 |
| ⑤連絡先一覧 | 社内担当者・外部専門家・セキュリティベンダーの連絡先 |
紙1枚に印刷して貼っておく
手順書はデジタルファイルだけでなく、紙に印刷してオフィスの見えやすい場所に貼っておくことが重要です。インシデント発生時はPCが使えない場合があります。ランサムウェア対策 中小企業がまず決めるべき3つのことでも整理していますが、「感染時の初動を紙1枚に書いておく」ことが現場で機能する手順書の基本です。
インシデント対応手順が形骸化する理由と最低限の対策
なぜ避難訓練と同じで形骸化するのか
インシデント対応手順書を作っても実際に機能しないケースが多い。その理由はシンプルです。「被害に遭っていないから大丈夫」という認識が定着しているからです。IPAの調査では「情報セキュリティ被害に遭っていない」と回答した企業は84.3%に達しており、「自分たちは大丈夫」という正常性バイアスが対策の優先度を下げます。
その結果、手順書は作ったが誰も知らない・読んだことがない・どこにあるか分からない、という状態になります。
形骸化を防ぐ唯一の方法は仕組みとして組み込むこと
「重要だと分かっているがやり忘れる」という状態が最大のリスクです。インシデント対応訓練は「思い出したらやる」ではなく、既存の仕組みに組み込むことが唯一の解決策です。
ISMS取得済みの企業: 年1回のセキュリティ教育・内部監査の中でインシデント対応手順の確認が既に組み込まれているはずです。その中に「報告先は誰か・ルーターはどこにあるか・手順書の場所を知っているか」という確認を追加するだけで対応できます。
ISMS未取得・★3対応中の企業: ★3の要求事項4-2-2を満たすために年1回のセキュリティ教育・訓練を実施し記録を残す必要があります。IPAが無料で公開している机上演習教材を使えば半日程度で実施できます。「実施した記録」が★3の専門家確認の証拠として機能します。
どちらの場合も「やった記録を残すこと」が★3の要件を満たす上で重要です。
まとめ|インシデント対応手順は2つの初動と3つの「誰が」を先に決める
インシデント対応手順の核心は、複雑な手順書を作ることではありません。全社員が反射的に動ける「2つの初動」と、経営として事前に決める「3つの誰が」を整備することです。
全社員が覚えるべき初動はマルウェア系はネットワークを切る・情報漏洩系は上司に報告するの2つだけです。ただしWi-Fi環境ではルーターの場所を全社員が知っていなければ「切る」という初動が機能しません。シンプルに見えて、意外と整備されていない部分です。
経営として決める3つの「誰が」は報告先・判断者・外部報告者です。この3つが決まっていなければ、社員の初動が正しくても次の対応が止まります。
★3のインシデント対応要件を満たすためには手順書の文書化と訓練の記録が必要です。経産省の手引きを活用すれば、今日から整備を始められます。
コメント