インシデント対応計画テンプレート: 準備、検出、対応、回復

IBM のデータ侵害コストレポートによると、インシデント対応計画とチームを備えた組織は、そうでない組織に比べて侵害コストを平均 266 万ドル削減し、侵害を 54 日早く特定できることが明らかになりました。しかし、組織の 77% は、一貫して適用されるインシデント対応計画を持っていません。

インシデント対応 (IR) 計画は、棚に置かれている文書ではありません。これは、チームが理解し、実践し、プレッシャーの下でも実行できる戦略です。このガイドでは、NIST フレームワークに準拠した完全なカスタマイズ可能な IR 計画テンプレートを提供します。

パート 1: 計画の概要

目的

このインシデント対応計画では、サイバーセキュリティインシデントの検出、対応、封じ込め、回復の手順を確立します。これにより、損傷と回復時間を最小限に抑える、調整された効率的な対応が保証されます。

範囲

このプランは、以下を含む組織内のすべての情報システム、ネットワーク、データ、およびユーザーを対象としています。

オンプレミスとクラウドのインフラストラクチャ
従業員および請負業者のデバイス
組織データを処理するサードパーティシステム
IT資産に影響を及ぼす物理的なセキュリティインシデント

インシデントの分類

重大度	定義	例	応答時間
クリティカル (P1)	アクティブなデータ侵害、ランサムウェア、システム全体の停止	データ漏洩、システムの暗号化、DDoS	即時 (15 分以内)
高 (P2)	確認された侵害、重大な混乱	管理者アカウントの侵害、マルウェアの拡散、標的型攻撃	1時間以内
中 (P3)	不審な活動、影響は限定的	フィッシング行為、不正アクセス行為、ポリシー違反	4時間以内
低 (P4)	軽度のセキュリティイベント、差し迫った脅威なし	失敗したログイン試行、ポリシー警告、スキャンアクティビティ	24時間以内

パート 2: 役割と責任

インシデント対応チーム

役割	責任	主な連絡先	バックアップ連絡先
事件指揮官	総合調整・決定権限	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
テクニカルリード	技術調査と封じ込め	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
コミュニケーションリーダー	社内外のコミュニケーション	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
法律顧問	規制上の義務、法的指導	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
ビジネス連絡	ビジネスへの影響評価、関係者の最新情報	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
エグゼクティブスポンサー	エスカレーション権限、リソース割り当て	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]

RACI マトリックス

アクティビティ	指揮官	技術責任者	通信	法務	ビジネス	エグゼクティブ
初期トリアージ	あ	R	私	私	私	私
封じ込めに関する決定	あ	R	私	C	C	私
技術調査	私	A/R	私	私	私	私
社内コミュニケーション	私	C	A/R	C	R	私
外部コミュニケーション	あ	C	R	R	C	あ
回復に関する決定	あ	R	私	C	R	あ
事件後のレビュー	あ	R	R	R	R	私

R = 責任がある、A = 説明責任がある、C = 相談を受ける、I = 情報を得る

パート 3: インシデント対応の 6 つの段階

フェーズ 1: 準備

準備は事件が起こる前に行われます。

技術的な準備:

セキュリティ監視ツールの展開および構成 (SIEM、EDR、IDS/IPS)
すべての重要なシステムからの一元的なログ収集
バックアップシステムはテスト済み (復元は過去 30 日以内に検証済み)
現在およびオフラインでアクセス可能なネットワーク図
現在の資産インベントリ (すべてのシステム、アプリケーション、データストア)
組み立てられたフォレンジックツールキット (イメージングツール、書き込みブロッカー、保管管理フォーム)

組織的な準備:

IR チームのメンバーが特定され、トレーニングを受けました
現在の連絡先リスト (営業時間外および週末の電話番号を含む)
ドラフトされたコミュニケーションテンプレート (顧客、規制当局、メディア、従業員)
法的義務の文書化 (管轄区域による通知要件)
過去 6 か月以内に実施された机上演習
サードパーティの IR 担当者を配置 (フォレンジック事務所、法律事務所)
サイバー保険契約が確認され、現在適用されています

フェーズ 2: 検出と分析

検出ソース:

出典	アラートの種類	優先順位
シェムリアップ	相関イベント、異常検出	高
EDR	マルウェアの検出、不審な動作	高
ユーザーレポート	フィッシング、不審なメール、異常な動作	中
サードパーティの通知	ベンダー、パートナー、研究者が侵害を報告	高
ダークウェブ監視	ダークウェブで見つかった認証情報またはデータ	高
自動スキャン	脆弱性の発見、設定ミス	中

最初のトリアージの質問:

何が起こったのですか? (何を、誰が、いつ検出したのか?)
どのシステムが影響を受けますか? （範囲の評価）
インシデントはまだ進行中ですか? (現在進行中と過去のもの)
どのようなデータが危険にさらされる可能性がありますか? (分類レベル)
ビジネスへの影響は何ですか? （業務妨害）
これにより、規制上の通知要件がトリガーされますか?

最初の 1 分からのドキュメント:

Incident ID: INC-[YEAR]-[SEQUENTIAL]
Date/Time Detected: [YYYY-MM-DD HH:MM UTC]
Detected By: [Person/System]
Detection Method: [Alert/Report/Discovery]
Initial Classification: [P1/P2/P3/P4]
Affected Systems: [List]
Initial Description: [What is known]
Assigned To: [Incident Commander]

フェーズ 3: 封じ込め

短期封じ込め (出血を止める):

アクション	いつ使用するか	リスク
影響を受けるシステムをネットワークから隔離する	アクティブなデータ漏洩	事業運営に支障をきたす
侵害されたユーザーアカウントを無効にする	認証情報の侵害が確認されました	ユーザーは解決されるまで作業できません
悪意のある IP アドレス/ドメインをブロック	既知の C2 通信	正規のトラフィックをブロックする可能性があります
侵害された API キー/トークンを取り消す	API 認証情報が漏洩	統合の中断
追加のログを有効にする	さらなる可視性が必要	パフォーマンスへの影響 (最小限)

長期封じ込め(調査中):

アクション	目的
一時的なセキュリティパッチを適用する	悪用された脆弱性を閉じる
影響を受けるセグメントの監視を強化する	継続的な悪意のあるアクティビティを検出します
追加のアクセス制御を実装する	攻撃ベクトルの再利用を防ぐ
重要な操作のためにクリーンなシステムをセットアップする	事業継続性の維持

封じ込め決定マトリックス:

状況	積極的に封じ込める	慎重に封じ込める
活発なデータ盗難	直ちに隔離	--
ランサムウェアの拡散	直ちに隔離	--
管理者アカウントが侵害されました	すぐに無効にする	--
疑わしいが未確認	--	最初に監視し、次に
歴史的な侵害 (アクティブな脅威なし)	--	封じ込めを慎重に計画する

フェーズ 4: 根絶

インシデントの根本原因を取り除きます。

駆除チェックリスト:

すべてのマルウェア/バックドアを特定して削除します
悪用された脆弱性にパッチを適用します。
漏洩した認証情報 (パスワード、API キー、証明書) をすべてリセットします。
影響を受けるシステムの構成を確認して強化します
すべてのシステムをスキャンして侵害の痕跡 (IoC) を検出します。
攻撃者の永続化メカニズムが削除されていることを確認します
ログを確認して、他のシステムが侵害されていないことを確認します

フェーズ 5: 回復

システムと操作を通常の状態に戻します。

回復プロセス:

駆除が完了したことを確認します (再スキャン、ログの確認)
クリーンなバックアップからシステムを復元します (必要な場合)
運用に戻る前にシステムの整合性を検証する
回復したシステムを 30 日間、警戒を強化して監視します
段階的に通常の運用を復元します (最初に重要なシステム)
データの整合性を検証します (バックアップと比較し、変更がないか確認します)。
業務が正常に機能していることを確認する

フェーズ 6: インシデント後のレビュー

インシデントが終了してから 5 営業日以内に実施します。

議題の確認:

タイムラインの再構成 --- 何が、いつ、どのような順序で起こったのか?
検出の有効性 --- インシデントはどのように検出されましたか?もっと早くに発見できたのでしょうか？
対応の有効性 ---何がうまくいきましたか?何ができなかったのでしょうか？
根本原因分析 --- 根本的な原因は何でしたか? (技術的な脆弱性だけでなく、プロセス/ポリシーのギャップも問題です)
教訓 --- その結果、私たちは何を変えるのでしょうか?
アクションアイテム --- 所有者との具体的な改善と期限

パート 4: コミュニケーションテンプレート

社内コミュニケーション (従業員への通知)

Subject: Security Incident Update - [Date]

Team,

We have identified a security incident affecting [brief description].

What we know:
- [Factual summary of the situation]
- [Systems/data potentially affected]

What we are doing:
- [Response actions taken]
- [Timeline for resolution]

What you should do:
- [Specific employee actions, e.g., change passwords]
- [Who to contact with questions]

We will provide updates every [frequency].

[Incident Commander Name]

顧客への通知 (必要な場合)

Subject: Important Security Notice from [Company]

Dear [Customer],

We are writing to inform you of a security incident that may have
affected your data. We take the security of your information seriously
and want to be transparent about what occurred.

What happened: [Brief, factual description]
When: [Date range of the incident]
What information was involved: [Specific data types]
What we have done: [Response and remediation actions]
What you can do: [Recommended customer actions]

For questions, contact our dedicated response team at [contact info].

[Executive Name and Title]

パート 5: 計画のテスト

机上演習のテンプレート

シナリオ: 「従業員がフィッシングメールのリンクをクリックしました。2 時間後、セキュリティチームは従業員のワークステーションから未知の外部 IP への暗号化されたトラフィックを検出しました。」

各フェーズでのディスカッションの質問:

誰が最初に通知を受けますか?どうやって？
これはどの程度の重大度に分類されますか?
私たちは直ちにどのような封じ込め措置を講じますか?
どのような証拠を保存しますか?
より広範な組織に連絡するのは誰ですか?
弁護士に相談するのはどのような場合ですか?
これは規制当局への通知をトリガーしますか?

机上演習を四半期ごとに実施します。 完全なシミュレーション演習を年に 1 回実施します。

インシデント対応計画テンプレート: 準備、検出、対応、回復

パート 1: 計画の概要

目的

範囲

このプランは、以下を含む組織内のすべての情報システム、ネットワーク、データ、およびユーザーを対象としています。

オンプレミスとクラウドのインフラストラクチャ
従業員および請負業者のデバイス
組織データを処理するサードパーティシステム
IT資産に影響を及ぼす物理的なセキュリティインシデント

インシデントの分類

重大度	定義	例	応答時間
クリティカル (P1)	アクティブなデータ侵害、ランサムウェア、システム全体の停止	データ漏洩、システムの暗号化、DDoS	即時 (15 分以内)
高 (P2)	確認された侵害、重大な混乱	管理者アカウントの侵害、マルウェアの拡散、標的型攻撃	1時間以内
中 (P3)	不審な活動、影響は限定的	フィッシング行為、不正アクセス行為、ポリシー違反	4時間以内
低 (P4)	軽度のセキュリティイベント、差し迫った脅威なし	失敗したログイン試行、ポリシー警告、スキャンアクティビティ	24時間以内

パート 2: 役割と責任

インシデント対応チーム

役割	責任	主な連絡先	バックアップ連絡先
事件指揮官	総合調整・決定権限	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
テクニカルリード	技術調査と封じ込め	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
コミュニケーションリーダー	社内外のコミュニケーション	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
法律顧問	規制上の義務、法的指導	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
ビジネス連絡	ビジネスへの影響評価、関係者の最新情報	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]
エグゼクティブスポンサー	エスカレーション権限、リソース割り当て	[名前、電話番号、メールアドレス]	[名前、電話番号、メールアドレス]

RACI マトリックス

アクティビティ	指揮官	技術責任者	通信	法務	ビジネス	エグゼクティブ
初期トリアージ	あ	R	私	私	私	私
封じ込めに関する決定	あ	R	私	C	C	私
技術調査	私	A/R	私	私	私	私
社内コミュニケーション	私	C	A/R	C	R	私
外部コミュニケーション	あ	C	R	R	C	あ
回復に関する決定	あ	R	私	C	R	あ
事件後のレビュー	あ	R	R	R	R	私

R = 責任がある、A = 説明責任がある、C = 相談を受ける、I = 情報を得る

パート 3: インシデント対応の 6 つの段階

フェーズ 1: 準備

準備は事件が起こる前に行われます。

技術的な準備:

セキュリティ監視ツールの展開および構成 (SIEM、EDR、IDS/IPS)
すべての重要なシステムからの一元的なログ収集
バックアップシステムはテスト済み (復元は過去 30 日以内に検証済み)
現在およびオフラインでアクセス可能なネットワーク図
現在の資産インベントリ (すべてのシステム、アプリケーション、データストア)
組み立てられたフォレンジックツールキット (イメージングツール、書き込みブロッカー、保管管理フォーム)

組織的な準備:

IR チームのメンバーが特定され、トレーニングを受けました
現在の連絡先リスト (営業時間外および週末の電話番号を含む)
ドラフトされたコミュニケーションテンプレート (顧客、規制当局、メディア、従業員)
法的義務の文書化 (管轄区域による通知要件)
過去 6 か月以内に実施された机上演習
サードパーティの IR 担当者を配置 (フォレンジック事務所、法律事務所)
サイバー保険契約が確認され、現在適用されています

フェーズ 2: 検出と分析

検出ソース:

出典	アラートの種類	優先順位
シェムリアップ	相関イベント、異常検出	高
EDR	マルウェアの検出、不審な動作	高
ユーザーレポート	フィッシング、不審なメール、異常な動作	中
サードパーティの通知	ベンダー、パートナー、研究者が侵害を報告	高
ダークウェブ監視	ダークウェブで見つかった認証情報またはデータ	高
自動スキャン	脆弱性の発見、設定ミス	中

最初のトリアージの質問:

何が起こったのですか? (何を、誰が、いつ検出したのか?)
どのシステムが影響を受けますか? （範囲の評価）
インシデントはまだ進行中ですか? (現在進行中と過去のもの)
どのようなデータが危険にさらされる可能性がありますか? (分類レベル)
ビジネスへの影響は何ですか? （業務妨害）
これにより、規制上の通知要件がトリガーされますか?

最初の 1 分からのドキュメント:

Incident ID: INC-[YEAR]-[SEQUENTIAL]
Date/Time Detected: [YYYY-MM-DD HH:MM UTC]
Detected By: [Person/System]
Detection Method: [Alert/Report/Discovery]
Initial Classification: [P1/P2/P3/P4]
Affected Systems: [List]
Initial Description: [What is known]
Assigned To: [Incident Commander]

フェーズ 3: 封じ込め

短期封じ込め (出血を止める):

アクション	いつ使用するか	リスク
影響を受けるシステムをネットワークから隔離する	アクティブなデータ漏洩	事業運営に支障をきたす
侵害されたユーザーアカウントを無効にする	認証情報の侵害が確認されました	ユーザーは解決されるまで作業できません
悪意のある IP アドレス/ドメインをブロック	既知の C2 通信	正規のトラフィックをブロックする可能性があります
侵害された API キー/トークンを取り消す	API 認証情報が漏洩	統合の中断
追加のログを有効にする	さらなる可視性が必要	パフォーマンスへの影響 (最小限)

長期封じ込め(調査中):

アクション	目的
一時的なセキュリティパッチを適用する	悪用された脆弱性を閉じる
影響を受けるセグメントの監視を強化する	継続的な悪意のあるアクティビティを検出します
追加のアクセス制御を実装する	攻撃ベクトルの再利用を防ぐ
重要な操作のためにクリーンなシステムをセットアップする	事業継続性の維持

封じ込め決定マトリックス:

状況	積極的に封じ込める	慎重に封じ込める
活発なデータ盗難	直ちに隔離	--
ランサムウェアの拡散	直ちに隔離	--
管理者アカウントが侵害されました	すぐに無効にする	--
疑わしいが未確認	--	最初に監視し、次に
歴史的な侵害 (アクティブな脅威なし)	--	封じ込めを慎重に計画する

フェーズ 4: 根絶

インシデントの根本原因を取り除きます。

駆除チェックリスト:

すべてのマルウェア/バックドアを特定して削除します
悪用された脆弱性にパッチを適用します。
漏洩した認証情報 (パスワード、API キー、証明書) をすべてリセットします。
影響を受けるシステムの構成を確認して強化します
すべてのシステムをスキャンして侵害の痕跡 (IoC) を検出します。
攻撃者の永続化メカニズムが削除されていることを確認します
ログを確認して、他のシステムが侵害されていないことを確認します

フェーズ 5: 回復

システムと操作を通常の状態に戻します。

回復プロセス:

駆除が完了したことを確認します (再スキャン、ログの確認)
クリーンなバックアップからシステムを復元します (必要な場合)
運用に戻る前にシステムの整合性を検証する
回復したシステムを 30 日間、警戒を強化して監視します
段階的に通常の運用を復元します (最初に重要なシステム)
データの整合性を検証します (バックアップと比較し、変更がないか確認します)。
業務が正常に機能していることを確認する

フェーズ 6: インシデント後のレビュー

インシデントが終了してから 5 営業日以内に実施します。

議題の確認:

タイムラインの再構成 --- 何が、いつ、どのような順序で起こったのか?
検出の有効性 --- インシデントはどのように検出されましたか?もっと早くに発見できたのでしょうか？
対応の有効性 ---何がうまくいきましたか?何ができなかったのでしょうか？
根本原因分析 --- 根本的な原因は何でしたか? (技術的な脆弱性だけでなく、プロセス/ポリシーのギャップも問題です)
教訓 --- その結果、私たちは何を変えるのでしょうか?
アクションアイテム --- 所有者との具体的な改善と期限

パート 4: コミュニケーションテンプレート

社内コミュニケーション (従業員への通知)

Subject: Security Incident Update - [Date]

Team,

We have identified a security incident affecting [brief description].

What we know:
- [Factual summary of the situation]
- [Systems/data potentially affected]

What we are doing:
- [Response actions taken]
- [Timeline for resolution]

What you should do:
- [Specific employee actions, e.g., change passwords]
- [Who to contact with questions]

We will provide updates every [frequency].

[Incident Commander Name]

顧客への通知 (必要な場合)

Subject: Important Security Notice from [Company]

Dear [Customer],

We are writing to inform you of a security incident that may have
affected your data. We take the security of your information seriously
and want to be transparent about what occurred.

What happened: [Brief, factual description]
When: [Date range of the incident]
What information was involved: [Specific data types]
What we have done: [Response and remediation actions]
What you can do: [Recommended customer actions]

For questions, contact our dedicated response team at [contact info].

[Executive Name and Title]

パート 5: 計画のテスト

机上演習のテンプレート

各フェーズでのディスカッションの質問:

誰が最初に通知を受けますか?どうやって？
これはどの程度の重大度に分類されますか?
私たちは直ちにどのような封じ込め措置を講じますか?
どのような証拠を保存しますか?
より広範な組織に連絡するのは誰ですか?
弁護士に相談するのはどのような場合ですか?
これは規制当局への通知をトリガーしますか?

机上演習を四半期ごとに実施します。 完全なシミュレーション演習を年に 1 回実施します。

インシデント対応計画テンプレート: 準備、検出、対応、回復

インシデント対応計画テンプレート: 準備、検出、対応、回復

パート 1: 計画の概要

目的

範囲

インシデントの分類

パート 2: 役割と責任

インシデント対応チーム

RACI マトリックス

パート 3: インシデント対応の 6 つの段階

フェーズ 1: 準備

フェーズ 2: 検出と分析

フェーズ 3: 封じ込め

フェーズ 4: 根絶

フェーズ 5: 回復

フェーズ 6: インシデント後のレビュー

パート 4: コミュニケーション テンプレート

社内コミュニケーション (従業員への通知)

顧客への通知 (必要な場合)

パート 5: 計画のテスト

机上演習のテンプレート

関連リソース

ECOSIRE でビジネスを成長させましょう

関連記事

電子商取引向け AI 不正検出: 販売を妨げずに収益を保護

電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る

化学産業向け ERP: 安全性、コンプライアンス、バッチ処理

Compliance & Regulationのその他の記事

電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る

化学産業向け ERP: 安全性、コンプライアンス、バッチ処理

輸出入取引用ERP: 多通貨、物流、コンプライアンス

ERP を使用した持続可能性と ESG レポート: コンプライアンス ガイド 2026

監査準備チェックリスト: 書籍の準備をする

電子商取引ビジネスのためのオーストラリア GST ガイド

インシデント対応計画テンプレート: 準備、検出、対応、回復

インシデント対応計画テンプレート: 準備、検出、対応、回復

パート 1: 計画の概要

目的

範囲

インシデントの分類

パート 2: 役割と責任

インシデント対応チーム

RACI マトリックス

パート 3: インシデント対応の 6 つの段階

フェーズ 1: 準備

フェーズ 2: 検出と分析

フェーズ 3: 封じ込め

フェーズ 4: 根絶

フェーズ 5: 回復

フェーズ 6: インシデント後のレビュー

パート 4: コミュニケーション テンプレート

社内コミュニケーション (従業員への通知)

顧客への通知 (必要な場合)

パート 5: 計画のテスト

机上演習のテンプレート

関連リソース

ECOSIRE でビジネスを成長させましょう

関連記事

電子商取引向け AI 不正検出: 販売を妨げずに収益を保護

電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る

化学産業向け ERP: 安全性、コンプライアンス、バッチ処理

Compliance & Regulationのその他の記事

電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る

化学産業向け ERP: 安全性、コンプライアンス、バッチ処理

輸出入取引用ERP: 多通貨、物流、コンプライアンス

ERP を使用した持続可能性と ESG レポート: コンプライアンス ガイド 2026

監査準備チェックリスト: 書籍の準備をする

電子商取引ビジネスのためのオーストラリア GST ガイド

パート 4: コミュニケーションテンプレート

ERP を使用した持続可能性と ESG レポート: コンプライアンスガイド 2026

パート 4: コミュニケーションテンプレート

ERP を使用した持続可能性と ESG レポート: コンプライアンスガイド 2026