Compliance & Regulationシリーズの一部
完全ガイドを読むインシデント対応計画テンプレート: 準備、検出、対応、回復
IBM のデータ侵害コスト レポートによると、インシデント対応計画とチームを備えた組織は、そうでない組織に比べて侵害コストを平均 266 万ドル削減し、侵害を 54 日早く特定できることが明らかになりました。しかし、組織の 77% は、一貫して適用されるインシデント対応計画を持っていません。
インシデント対応 (IR) 計画は、棚に置かれている文書ではありません。これは、チームが理解し、実践し、プレッシャーの下でも実行できる戦略です。このガイドでは、NIST フレームワークに準拠した完全なカスタマイズ可能な IR 計画テンプレートを提供します。
パート 1: 計画の概要
目的
このインシデント対応計画では、サイバーセキュリティ インシデントの検出、対応、封じ込め、回復の手順を確立します。これにより、損傷と回復時間を最小限に抑える、調整された効率的な対応が保証されます。
範囲
このプランは、以下を含む組織内のすべての情報システム、ネットワーク、データ、およびユーザーを対象としています。
- オンプレミスとクラウドのインフラストラクチャ
- 従業員および請負業者のデバイス
- 組織データを処理するサードパーティ システム
- IT資産に影響を及ぼす物理的なセキュリティインシデント
インシデントの分類
| 重大度 | 定義 | 例 | 応答時間 |
|---|---|---|---|
| クリティカル (P1) | アクティブなデータ侵害、ランサムウェア、システム全体の停止 | データ漏洩、システムの暗号化、DDoS | 即時 (15 分以内) |
| 高 (P2) | 確認された侵害、重大な混乱 | 管理者アカウントの侵害、マルウェアの拡散、標的型攻撃 | 1時間以内 |
| 中 (P3) | 不審な活動、影響は限定的 | フィッシング行為、不正アクセス行為、ポリシー違反 | 4時間以内 |
| 低 (P4) | 軽度のセキュリティ イベント、差し迫った脅威なし | 失敗したログイン試行、ポリシー警告、スキャン アクティビティ | 24時間以内 |
パート 2: 役割と責任
インシデント対応チーム
| 役割 | 責任 | 主な連絡先 | バックアップ連絡先 |
|---|---|---|---|
| 事件指揮官 | 総合調整・決定権限 | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
| テクニカルリード | 技術調査と封じ込め | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
| コミュニケーションリーダー | 社内外のコミュニケーション | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
| 法律顧問 | 規制上の義務、法的指導 | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
| ビジネス連絡 | ビジネスへの影響評価、関係者の最新情報 | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
| エグゼクティブスポンサー | エスカレーション権限、リソース割り当て | [名前、電話番号、メールアドレス] | [名前、電話番号、メールアドレス] |
RACI マトリックス
| アクティビティ | 指揮官 | 技術責任者 | 通信 | 法務 | ビジネス | エグゼクティブ |
|---|---|---|---|---|---|---|
| 初期トリアージ | あ | R | 私 | 私 | 私 | 私 |
| 封じ込めに関する決定 | あ | R | 私 | C | C | 私 |
| 技術調査 | 私 | A/R | 私 | 私 | 私 | 私 |
| 社内コミュニケーション | 私 | C | A/R | C | R | 私 |
| 外部コミュニケーション | あ | C | R | R | C | あ |
| 回復に関する決定 | あ | R | 私 | C | R | あ |
| 事件後のレビュー | あ | R | R | R | R | 私 |
R = 責任がある、A = 説明責任がある、C = 相談を受ける、I = 情報を得る
パート 3: インシデント対応の 6 つの段階
フェーズ 1: 準備
準備は事件が起こる前に行われます。
技術的な準備:
- セキュリティ監視ツールの展開および構成 (SIEM、EDR、IDS/IPS)
- すべての重要なシステムからの一元的なログ収集
- バックアップ システムはテスト済み (復元は過去 30 日以内に検証済み)
- 現在およびオフラインでアクセス可能なネットワーク図
- 現在の資産インベントリ (すべてのシステム、アプリケーション、データ ストア)
- 組み立てられたフォレンジック ツールキット (イメージング ツール、書き込みブロッカー、保管管理フォーム)
組織的な準備:
- IR チームのメンバーが特定され、トレーニングを受けました
- 現在の連絡先リスト (営業時間外および週末の電話番号を含む)
- ドラフトされたコミュニケーション テンプレート (顧客、規制当局、メディア、従業員)
- 法的義務の文書化 (管轄区域による通知要件)
- 過去 6 か月以内に実施された机上演習
- サードパーティの IR 担当者を配置 (フォレンジック事務所、法律事務所)
- サイバー保険契約が確認され、現在適用されています
フェーズ 2: 検出と分析
検出ソース:
| 出典 | アラートの種類 | 優先順位 |
|---|---|---|
| シェムリアップ | 相関イベント、異常検出 | 高 |
| EDR | マルウェアの検出、不審な動作 | 高 |
| ユーザーレポート | フィッシング、不審なメール、異常な動作 | 中 |
| サードパーティの通知 | ベンダー、パートナー、研究者が侵害を報告 | 高 |
| ダークウェブ監視 | ダークウェブで見つかった認証情報またはデータ | 高 |
| 自動スキャン | 脆弱性の発見、設定ミス | 中 |
最初のトリアージの質問:
- 何が起こったのですか? (何を、誰が、いつ検出したのか?)
- どのシステムが影響を受けますか? (範囲の評価)
- インシデントはまだ進行中ですか? (現在進行中と過去のもの)
- どのようなデータが危険にさらされる可能性がありますか? (分類レベル)
- ビジネスへの影響は何ですか? (業務妨害)
- これにより、規制上の通知要件がトリガーされますか?
最初の 1 分からのドキュメント:
Incident ID: INC-[YEAR]-[SEQUENTIAL]
Date/Time Detected: [YYYY-MM-DD HH:MM UTC]
Detected By: [Person/System]
Detection Method: [Alert/Report/Discovery]
Initial Classification: [P1/P2/P3/P4]
Affected Systems: [List]
Initial Description: [What is known]
Assigned To: [Incident Commander]
フェーズ 3: 封じ込め
短期封じ込め (出血を止める):
| アクション | いつ使用するか | リスク |
|---|---|---|
| 影響を受けるシステムをネットワークから隔離する | アクティブなデータ漏洩 | 事業運営に支障をきたす |
| 侵害されたユーザー アカウントを無効にする | 認証情報の侵害が確認されました | ユーザーは解決されるまで作業できません |
| 悪意のある IP アドレス/ドメインをブロック | 既知の C2 通信 | 正規のトラフィックをブロックする可能性があります |
| 侵害された API キー/トークンを取り消す | API 認証情報が漏洩 | 統合の中断 |
| 追加のログを有効にする | さらなる可視性が必要 | パフォーマンスへの影響 (最小限) |
長期封じ込め(調査中):
| アクション | 目的 |
|---|---|
| 一時的なセキュリティ パッチを適用する | 悪用された脆弱性を閉じる |
| 影響を受けるセグメントの監視を強化する | 継続的な悪意のあるアクティビティを検出します |
| 追加のアクセス制御を実装する | 攻撃ベクトルの再利用を防ぐ |
| 重要な操作のためにクリーンなシステムをセットアップする | 事業継続性の維持 |
封じ込め決定マトリックス:
| 状況 | 積極的に封じ込める | 慎重に封じ込める |
|---|---|---|
| 活発なデータ盗難 | 直ちに隔離 | -- |
| ランサムウェアの拡散 | 直ちに隔離 | -- |
| 管理者アカウントが侵害されました | すぐに無効にする | -- |
| 疑わしいが未確認 | -- | 最初に監視し、次に |
| 歴史的な侵害 (アクティブな脅威なし) | -- | 封じ込めを慎重に計画する |
フェーズ 4: 根絶
インシデントの根本原因を取り除きます。
駆除チェックリスト:
- すべてのマルウェア/バックドアを特定して削除します
- 悪用された脆弱性にパッチを適用します。
- 漏洩した認証情報 (パスワード、API キー、証明書) をすべてリセットします。
- 影響を受けるシステムの構成を確認して強化します
- すべてのシステムをスキャンして侵害の痕跡 (IoC) を検出します。
- 攻撃者の永続化メカニズムが削除されていることを確認します
- ログを確認して、他のシステムが侵害されていないことを確認します
フェーズ 5: 回復
システムと操作を通常の状態に戻します。
回復プロセス:
- 駆除が完了したことを確認します (再スキャン、ログの確認)
- クリーンなバックアップからシステムを復元します (必要な場合)
- 運用に戻る前にシステムの整合性を検証する
- 回復したシステムを 30 日間、警戒を強化して監視します
- 段階的に通常の運用を復元します (最初に重要なシステム)
- データの整合性を検証します (バックアップと比較し、変更がないか確認します)。
- 業務が正常に機能していることを確認する
フェーズ 6: インシデント後のレビュー
インシデントが終了してから 5 営業日以内に実施します。
議題の確認:
- タイムラインの再構成 --- 何が、いつ、どのような順序で起こったのか?
- 検出の有効性 --- インシデントはどのように検出されましたか?もっと早くに発見できたのでしょうか?
- 対応の有効性 ---何がうまくいきましたか?何ができなかったのでしょうか?
- 根本原因分析 --- 根本的な原因は何でしたか? (技術的な脆弱性だけでなく、プロセス/ポリシーのギャップも問題です)
- 教訓 --- その結果、私たちは何を変えるのでしょうか?
- アクションアイテム --- 所有者との具体的な改善と期限
パート 4: コミュニケーション テンプレート
社内コミュニケーション (従業員への通知)
Subject: Security Incident Update - [Date]
Team,
We have identified a security incident affecting [brief description].
What we know:
- [Factual summary of the situation]
- [Systems/data potentially affected]
What we are doing:
- [Response actions taken]
- [Timeline for resolution]
What you should do:
- [Specific employee actions, e.g., change passwords]
- [Who to contact with questions]
We will provide updates every [frequency].
[Incident Commander Name]
顧客への通知 (必要な場合)
Subject: Important Security Notice from [Company]
Dear [Customer],
We are writing to inform you of a security incident that may have
affected your data. We take the security of your information seriously
and want to be transparent about what occurred.
What happened: [Brief, factual description]
When: [Date range of the incident]
What information was involved: [Specific data types]
What we have done: [Response and remediation actions]
What you can do: [Recommended customer actions]
For questions, contact our dedicated response team at [contact info].
[Executive Name and Title]
パート 5: 計画のテスト
机上演習のテンプレート
シナリオ: 「従業員がフィッシングメールのリンクをクリックしました。2 時間後、セキュリティ チームは従業員のワークステーションから未知の外部 IP への暗号化されたトラフィックを検出しました。」
各フェーズでのディスカッションの質問:
- 誰が最初に通知を受けますか?どうやって?
- これはどの程度の重大度に分類されますか?
- 私たちは直ちにどのような封じ込め措置を講じますか?
- どのような証拠を保存しますか?
- より広範な組織に連絡するのは誰ですか?
- 弁護士に相談するのはどのような場合ですか?
- これは規制当局への通知をトリガーしますか?
机上演習を四半期ごとに実施します。 完全なシミュレーション演習を年に 1 回実施します。
関連リソース
- 違反通知とインシデント対応 --- 規制上の通知要件
- ゼロトラスト実装ガイド --- インシデントの防止
- セキュリティ意識向上トレーニング --- 人為的事故の削減
- ペネトレーション テスト ガイド --- 攻撃者よりも先に脆弱性を発見
インシデント対応計画は、避けられない事態に対する組織の保険です。侵害が発生したとき、制御された対応と混乱の違いは準備の有無です。インシデント対応計画およびセキュリティ評価サービスについては、ECOSIRE にお問い合わせください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
AI エージェントのセキュリティのベスト プラクティス: 自律システムの保護
AI エージェントを保護するための包括的なガイド。プロンプト インジェクション防御、権限境界、データ保護、監査ログ、運用セキュリティをカバーします。
e コマース向け AI 詐欺検出: 優良顧客をブロックせずに収益を保護
AI 詐欺検出を導入して、不正取引の 95% 以上を捕捉し、誤検知を 50 ~ 70% 削減します。モデル、ルール、実装について説明します。
監査準備チェックリスト: ERP によって監査が 60% 高速化される方法
ERP システムを使用して監査準備チェックリストを完了します。適切な文書化、管理、自動化された証拠収集により、監査時間を 60% 削減します。
Compliance & Regulationのその他の記事
監査準備チェックリスト: ERP によって監査が 60% 高速化される方法
ERP システムを使用して監査準備チェックリストを完了します。適切な文書化、管理、自動化された証拠収集により、監査時間を 60% 削減します。
Cookie 同意実装ガイド: 法的に準拠した同意管理
GDPR、eプライバシー、CCPA、および世界的な規制に準拠した Cookie 同意を実装します。同意バナー、Cookie の分類、CMP の統合について説明します。
国境を越えたデータ転送規制: 国際的なデータ フローをナビゲートする
SCC、十分性決定、BCR を使用して国境を越えたデータ転送規制をナビゲートし、GDPR、英国、および APAC 準拠のための転送影響評価を行います。
地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
米国、EU、英国、APAC、中東にわたるサイバーセキュリティ規制をナビゲートします。 NIS2、DORA、SEC ルール、重要なインフラストラクチャ要件、コンプライアンスのタイムラインをカバーします。
データ ガバナンスとコンプライアンス: テクノロジー企業のための完全ガイド
コンプライアンス フレームワーク、データ分類、保持ポリシー、プライバシー規制、テクノロジー企業向けの実装ロードマップを網羅した完全なデータ ガバナンス ガイド。
データ保持ポリシーと自動化: 必要なものを保持し、必要なものを削除
法的要件、保持スケジュール、自動適用、GDPR、SOX、HIPAA のコンプライアンス検証を備えたデータ保持ポリシーを構築します。