なぜ初動が重要か
サイバー攻撃は突然やってきます。侵入を完全に防ぐことは難しくても、最初の72時間の動き方次第で被害規模は大きく変わります。しかし中小企業では、専門チームや法務部門を持たない場合も多く、「誰が何を決めるのか」が曖昧になりがちです。本記事では、小規模組織でも実践できる初動計画の現実解を整理します。
インシデント初動の流れ(72時間の全体像)
0〜24時間:検知と封じ込め
- 社内で異常を確認したら即座に報告ルートへ
- ネットワーク隔離やアカウント停止など応急措置
- ログの退避(消される前に確保)
24〜48時間:調査と連絡
- 攻撃範囲や被害規模を確認
- 経営層が中心となり、対応方針を決定
- 顧客や取引先、場合によっては警察や専門機関に連絡
48〜72時間:復旧と広報
- バックアップからの復元を開始
- 顧客通知やプレス対応を検討
- 法的義務(個人情報保護法等)がある場合は遵守
よくある失敗(落とし穴)
- 決定権者が不明確:誰が「封じ込め」を指示するか曖昧で遅れる
- ログ未保存:証拠が残らず原因不明のまま再発
- 顧客通知が遅すぎる:信用を失い、法的リスクにも発展
いずれも「計画がなかった」ことに起因します。
実践ステップ(SMB向け現実解)
連絡体制を紙で明文化
IT担当→上長→経営層→外部専門家の順で即座に動けるようにする。
封じ込め手順の定型化
社内Wi-Fi遮断、サーバー電源オフ、影響端末のネット切断などをマニュアル化。
法的・契約上の義務を確認
個人情報保護法や取引契約に基づき、通知が必要かどうか事前に整理。
連絡体制を紙で明文化
疑似シナリオで訓練し、机上の計画を「生きた計画」にする。
