無料会員登録
不正アクセス、マルウェア感染、情報漏洩などのセキュリティインシデントは、発生直後の対応によって被害の広がり方が大きく変わります。焦って復旧や削除を進めると、原因調査に必要なログやファイルが失われることがあります。
特に法人では、業務停止だけでなく、顧客情報の流出、取引先への説明、監督機関への報告など、対応すべき範囲が広がる可能性があります。初動対応では、被害拡大を止めることと、証拠を残すことを同時に考える必要があります。
そこで本記事では、セキュリティインシデント発生時に最初に確認すべきこと、安全な初動対応の流れ、自社対応が難しい場合に専門調査を検討すべき目安を解説します。
目次
セキュリティインシデントが起きたときに最初に確認すべきこと
セキュリティインシデントが疑われる場合、最初に行うべきことは「何が起きているか」を落ち着いて整理することです。復旧作業を急ぐ前に、異常の内容、発生時刻、影響範囲、実施済みの操作を記録しておくことが重要です。
セキュリティインシデントとはどのような状態か
セキュリティインシデントとは、情報資産やシステムの安全性に影響する事象を指します。不正アクセス、マルウェア感染、情報漏洩、Webサイト改ざん、アカウント乗っ取り、内部不正などが代表例です。
単なるシステム障害に見えても、背後で攻撃者がアクセスしている場合があります。異常の原因が不明な段階では、障害対応とインシデント対応を切り分けず、証拠を残しながら確認することが大切です。
情報漏洩や不正アクセスが疑われるサイン
情報漏洩や不正アクセスが疑われる主なサインには、見覚えのないログイン履歴、管理者アカウントの追加、ファイルの改ざん、不審な外部通信、顧客や取引先からの指摘などがあります。
- 海外や通常と異なるIPアドレスからログインされている
- 管理者権限を持つ不明なアカウントが作成されている
- 社内ファイルやWebサイトの内容が勝手に変更されている
- 大量のデータ送信や不審な通信が記録されている
- 顧客情報や社内資料が外部で見つかったと連絡を受けている
自己判断で復旧を急ぐと被害が広がる理由
インシデント発生直後に、初期化、ログ削除、バックアップ上書き、ウイルス駆除を急ぐと、原因特定に必要な痕跡が消える可能性があります。被害を止めたい気持ちは自然ですが、手順を誤ると証拠消失につながります。
原因が分からないまま復旧すると、侵入口が残り、再侵入や二次被害が起こることもあります。まずは現状を記録し、被害拡大を止める操作と証拠保全を分けて進めることが重要です。
証拠を消さないために避けるべき操作
インシデント対応では、調査前に避けるべき操作があります。特に端末やサーバの初期化、ログファイルの削除、セキュリティソフトによる一括駆除、バックアップの上書き復元は慎重に判断してください。
- 端末やサーバを初期化しない
- ログや不審ファイルを削除しない
- 証拠保全前に復元や上書きをしない
ただし、情報漏洩や不正アクセスのサインがある場合、社内だけで原因や影響範囲を判断するのは難しいことがあります。特にログの保管期間が短い環境では、時間が経つほど証拠消失の可能性が高まります。
異常を検知した段階で専門家に相談することで、削除してはいけないデータや、先に保全すべきログを整理できます。被害の有無が確定していない段階でも、早めに状況を共有することが有効です。
被害範囲を見極めるための確認ポイント
被害範囲を見極めるには、端末、サーバ、ネットワーク、アカウント、データの5つの観点で確認します。どこまで影響が及んでいるかを把握することで、隔離や復旧の優先順位を決めやすくなります。
| 確認対象 | 確認する内容 | 注意点 |
|---|---|---|
| 端末・サーバ | 異常動作、暗号化、改ざん、不審プロセス | 電源断や初期化は避ける |
| ネットワーク | 不審な外部通信、通信量の急増 | 遮断前にログを残す |
| アカウント | 不正ログイン、権限変更、MFA無効化 | 変更履歴を記録する |
| データ | 顧客情報や社内データの閲覧・持ち出し | 対象件数と期間を整理する |
どの端末やサーバで異常が起きているか確認する
まず、異常が発生している端末やサーバを一覧化します。業務端末、ファイルサーバ、Webサーバ、クラウド環境など、影響が疑われる資産を漏れなく整理してください。
外部への不審な通信がないか確認する
ファイアウォール、プロキシ、EDR、DNSログなどから、不審な外部通信がないか確認します。見慣れない国やIPアドレス、短時間に大量の通信がある場合は注意が必要です。
アカウントの不正ログイン履歴を確認する
管理者アカウントやクラウドサービスのログイン履歴を確認します。深夜帯、国外IP、通常使用しない端末からのアクセスがあれば、不正ログインの可能性があります。
顧客情報や社内データの流出可能性を確認する
情報漏洩の可能性がある場合は、対象データの種類、件数、保存場所、アクセス可能だった期間を整理します。顧客情報、認証情報、契約書、営業秘密などが含まれる場合は、外部説明や報告の準備が必要になることがあります。
関係者への報告が必要なケースを整理する
顧客情報や取引先情報が関係する場合、社内の情報システム部門だけでなく、法務、広報、経営層への報告が必要です。対外説明が必要になるケースでは、推測ではなく事実に基づく調査結果が求められます。
セキュリティインシデント発生後の安全な対応手順
セキュリティインシデント発生後は、被害拡大の抑止、証拠保全、原因調査、復旧、再発防止の順で進めます。すべてを同時に行うのではなく、証拠を残しながら安全に進めることが重要です。
感染端末や不審な端末をネットワークから切り離す
マルウェア感染や不正アクセスが疑われる端末は、被害拡大を防ぐためにネットワークから切り離します。ただし、電源を切るとメモリ上の情報が失われる場合があるため、状況に応じた判断が必要です。
- 対象端末やサーバを特定する
- LANケーブルやWi-Fi接続を切り離す
- 切り離した時刻と担当者を記録する
ログやファイルを削除せずに保全する
ログや不審ファイルは、原因調査に必要な証拠です。不要に見えるファイルでも、攻撃手口や侵入経路の特定につながることがあります。
- サーバログ、認証ログ、EDRログを退避する
- 不審ファイルは削除せず隔離状態で保管する
- 取得日時、取得者、保存場所を記録する
原因調査より先に被害拡大を止める
原因特定は重要ですが、攻撃が継続している場合は被害拡大を止める対応を優先します。外部通信の制限、侵害アカウントの停止、共有フォルダの一時制限などを検討します。
- 不審通信や侵害アカウントを特定する
- 業務影響を確認しながら一時制限を行う
- 制限内容と実施時刻を記録する
暫定復旧と本格復旧を分けて進める
業務を止めないための暫定復旧と、原因を取り除いた本格復旧は分けて考える必要があります。原因が残ったまま本番環境に戻すと、再侵入や再感染につながる可能性があります。
- 業務継続に必要な最低限の復旧範囲を決める
- 原因調査が完了するまで恒久復旧を急がない
- 復旧後の監視と再発確認を行う
再発防止策をインシデント後に見直す
インシデント対応が終わった後は、再発防止策を見直します。多要素認証、権限管理、監査ログ、バックアップ、教育訓練などを、今回の原因に合わせて改善することが大切です。
- 侵入経路や原因を整理する
- 運用ルールや権限設定を見直す
- 定期監査と教育訓練に反映する
自社内で対応が難しい場合に専門家の調査を検討すべきケース
自社で初動対応を進められる場合もありますが、情報漏洩の有無や侵入経路の特定が必要な場合は、専門調査の検討が必要です。特に対外説明や証拠性が求められるケースでは、第三者による調査が有効です。
情報漏洩の有無を自社で判断できない場合
外部送信の痕跡や顧客情報へのアクセス履歴がある場合、自社だけで漏洩の有無を判断するのは難しいことがあります。通信ログやファイルアクセス履歴を分析し、事実を確認する必要があります。
原因や侵入経路が特定できない場合
復旧後も同じ異常が再発する場合、侵入経路が残っている可能性があります。VPN、公開サーバ、クラウドアカウント、メール経由など、複数の経路を横断して調査することが重要です。
取引先や顧客への説明が必要な場合
顧客情報や取引先情報が関係する場合、推測ではなく、確認できた事実に基づく説明が求められます。第三者性のある調査報告書があれば、社内外への説明を進めやすくなります。
証拠保全や調査報告書が必要な場合
法的対応、保険申請、監督機関への報告、社内処分などを見据える場合は、証拠の完全性を保つ必要があります。フォレンジック調査では、データを保全したうえで解析し、調査結果を報告書としてまとめます。
平時から整えておくべきインシデント対応体制
インシデント対応は、発生後に慌てて体制を作るよりも、平時から準備しておくことで対応品質が高まります。連絡網、ログ保管方針、バックアップ、権限管理、外部専門家への相談ルートを整えておくと安心です。
セキュリティインシデントはフォレンジック調査会社に相談する
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計4万7千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も409件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、情報漏洩調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計47,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
セキュリティインシデント対応では、最初の判断が被害拡大の防止と原因特定に大きく影響します。焦って復旧や削除を進めるのではなく、状況整理、隔離、証拠保全、被害範囲の確認を順番に進めることが重要です。
- 不審なログインや外部通信がある場合は、証拠を残して状況を記録する
- 端末やサーバの初期化、ログ削除、上書き復旧は慎重に判断する
- 情報漏洩や不正アクセスが疑われる場合は、端末・アカウント・データの範囲を確認する
- 原因や侵入経路が分からない場合は、専門調査を検討する
- 再発防止には、原因に基づいた権限管理、監査ログ、教育訓練の見直しが必要です
被害が確定していない段階でも、初動の相談によって守れる証拠があります。対応に迷った場合は、自己判断で操作を進める前に、専門家へ相談してください。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
