セキュリティインシデント発生時に
どう対応する？IPAが演習教材を発表

IPAがインシデント対応の演習教材を発表

日本では現在、サイバー攻撃が頻発しています。2025年に入ってから、さまざまな企業や医療機関が、ランサムウェアや不正アクセスなどのセキュリティインシデントが発生したことを公表しており、中には事業がストップしたケースもあります。

こうしたセキュリティインシデントが発生した際、その被害と悪影響を抑えるためには、インシデント時にどのような対応をすべきかを事前に準備しておくことが重要になります。IPA（IPA 独立行政法人 情報処理推進機構）が公開している「中小企業のためのセキュリティインシデント対応の手引き」でも、インシデントの被害を想定し準備することで、被害や影響範囲が最低限に抑えられ、顧客・取引先・株主・従業員など関係者への被害の拡大が防げるとしています。

そのIPAは2025年4月、実際にセキュリティインシデントが発生した場合を想定し、インシデント対応の一連の流れが学べる教材として「セキュリティインシデント対応机上演習教材」を発表しました。

これはIPAが実際に中小企業や医療機関の経営者向けに行ってきたインシデント対応の机上演習を、より多くの組織が実施できるようまとめたものです。教材は一般企業と医療機関の2種類が用意され、過去に発生したランサムウェア被害事例を参考に制作されています。演習のファシリテーター向けに、マニュアルも用意されています。

「検知・初動対応」→「報告・公表」→
「復旧・再発防止」の順に対応する

この演習では、基本的なインシデント対応の流れを学ぶ「座学パート」と、ランサムウェア感染時のインシデント対応をグループディスカッションする「演習パート」に分かれます。

座学パートではまず、インシデント発生時の対応を【1】検知・初動対応、【2】報告・公表、【3】復旧・再発防止の3つのステップに分類しています。

【1】検知・初動対応では、インシデントが疑われる兆候や実際の被害を従業員が発見した場合、情報セキュリティ責任者に報告します。その報告を受けた情報セキュリティ責任者は、対応すべきインシデントであるか否かを判断し、速やかに経営者に報告します。経営者は速やかにインシデント対応のための体制を立ち上げ、責任者と担当者を定めて役割分担を明確にします。

もし被害が広がる可能性がある場合は、ネットワークを遮断し、情報や対象機器を隔離、システムやサービスを停止すべきといいます。

【2】報告・公表では、すべての関係者への通知が困難な場合や、インシデントの影響が広範囲に及ぶ場合は、インシデントの状況を自社サイトに掲載したり、メディアを通じて公表します。顧客や消費者にも影響が及ぶ場合は、受付専用の問い合わせ窓口を開設します。

個人情報漏えいの恐れがある場合は、個人情報保護委員会にその旨を届け出ます。さらに、不正アクセスや内部犯行が疑われる場合は、犯罪性があるため、警察にも届け出ます。

【3】復旧・再発防止の段階では、インシデントが発生した状況を5W1H（いつ/どこで/誰が/何を/なぜ/どうしたのか）の観点で調査し、原因を調査したうえでシステムの修復を行います。自社で対応できない場合は、製品のメーカーや保守ベンダーなど外部の専門組織や公的機関の相談窓口に支援や助言を求めます。

PCを起動したら、赤い画面が表示された！
どうすれば良い？

演習パートでは、「アイピーエー製造株式会社」という架空の製造業にて、ランサムウェア感染が疑われる事象が発見された場合、情報セキュリティ責任者の立場としてどうすべきなのか、具体的な対応を答える問題が出題されます。問題は4～6人のチームを組んだうえで、グループディスカッションをしながら、答えを導き出すことが推奨されています。

たとえば1問目では、以下のような問題が用意されています。

---

【状況1（3/27 9:30）】

• 営業部の従業員が朝PCを起動したら、赤い画面が表示され、暗号化されて操作不能となっていた
• 発見した従業員から情報システム課に連絡が入り、情報セキュリティ責任者へその旨の報告があった

この状況において、誰に対し、どのように対応を指示・報告しますか？情報セキュリティ責任者の立場で考えてください。

---

模範解答は、講師用のPowerPointファイルとファシリテーター向けに用意されたマニュアルに記載されています。この「状況1」においては、従業員のPCはランサムウェアに感染した可能性はあるものの、あくまでも従業員からの申告のため、まだランサムウェアが原因とは断定できないといいます。

そのため模範解答としては、「情報システム担当に対し、当該従業員と事実関係や影響範囲の確認を指示する」「情報セキュリティ委員会に属する各部の担当者に対し、同様の事象が発生していないか確認を指示する」「情報システム担当に対し、当該従業員にヒアリングを行い、発見に至った経緯や実施した操作内容について確認するよう指示する」などが挙げられています。

身代金を支払ってデータを復元すべきか？

上記の問題は一般企業向けのものですが、医療機関向けの演習では、問題の内容が異なります。たとえば「電子カルテサーバーが暗号化され、操作不能になった。感染したPCには、10万ドルの仮想通貨を要求するメッセージと、残り72時間を示すカウントダウンタイマーが表示されていた。この状況において、身代金を支払って復元すべきか？その判断理由は何か？」といった、シビアな問題も出題されます。

模範解答としては、「たとえ身代金を支払ったとしても、暗号化されたファイルが復元される保証はなく、支払ったことで別の攻撃を受ける恐れがあるため、身代金の支払いは応じない」といった内容が用意されています。しかしながら、ファシリテーター向けのマニュアルには「人命にかかわるケースを想定し、身代金を支払うという経営判断を行う可能性や、その判断基準について議論することは妨げない」という、人命を預かる医療機関ならではの考察も記載されています。

日本国内でセキュリティインシデントが多発している現在、自社が被害に遭う可能性は否定できません。しかし、事前に演習をしておくことで、緊急時でも冷静な対応ができ、被害を最小限に食い止めることも可能です。IPAでは、多くの組織がこの教材を使って演習を行うことで、インシデント対応能力の向上につながることを期待しています。

IPAではこの演習の資料について、無料で使用できるとしています。緊急事態に備えた対策が不十分な企業は、もしもの事態に備え、一度は実行しておいた方が良いでしょう。