デジタルアーツの調査によると、2025年上半期、国内組織での不正アクセスなどのセキュリティ上のインシデントが1,027件あり、前年同期比で8割増となっている。

2025年9月9日に発刊された朝日新聞の記事によると、インシデントの内訳は不正アクセス504件で過去最多、全体の半分を占める。業務委託先や外部サービスなどに取引先を装ったメールが送られ、フィッシングが含まれるケースなどがあったという。

また、KPMGコンサルティングが発表した、サイバー被害についての調査結果では、回答した国内企業のうち44％は年間の被害額が1,000万円以上だった。

どの組織も、サイバー攻撃を受けるかもしれないことを見越してセキュリティ対策を行っているはずだ。しかし攻撃は多様化し、防ぎきれなくなっているのが実情だろう。攻撃に遭うことを前提とした「ゼロトラストセキュリティ」を導入する組織も増えてきているが、それでもなおインシデントは起こり得る。

インシデント発生時に、影響を最小限に抑え、迅速に復旧させるための対応策を「インシデントレスポンス（インシデント応答）」という。組織内で、インシデントレスポンスの体制を整えておくことで、インシデント発生時のレジリエンス（回復力）を高めることができる。

SysAdmin, Audit, Network, Security（SANS）とNational Institute of Standards and Technology（NIST）がそれぞれに六つのステップを公開している。

ここではSANSをもとに、詳しいステップを見ていこう。

１．Preparation／準備

インシデントが発生する前に、セキュリティポリシーと手順を定義しておく。対策チームを編成し、訓練を行う。また、必要なツールを選択し、導入する。定期的に対策が適切であるか、インシデントの事例などを考慮し、ポリシーやシステムなどを改善する。

２．Identification／特定

セキュリティインシデントが発生してしまったら、速やかに発生原因や攻撃の特質、攻撃者の目標などを徹底的に調べ、調査結果を記録する。迅速かつ正確な特定を行うことが、その後の対応の成否に大きく関わってくる。

３．Containment／封じ込め

脅威をできるだけ早く封じ込めることで、被害が広がらないようにする。攻撃を受けているアプリケーションやシステムをネットワークから分離するなどの対策を施し、組織内のほかのシステムが影響を受けないようにする。

４．Eradication／根絶

脅威の封じ込めが終わったら、インシデントの影響を受けたアプリケーションやシステムからマルウェアなどを根絶する。作業はオフラインにして行うケースもある。

５．Recovery／復旧

脅威を根絶できたら、システムの復元、バックアップデータからの復旧などを行う。しばらくは監視を続けて、再度攻撃を受けないことを確認する。

６．Lessons Learned／フィードバックと改善

インシデントが起きてから復旧するまでの過程を再調査し、改善点を特定する。インシデント対策チームのみならず、組織内にもレポートを共有する。

情報セキュリティインシデント対策を行う専門チームをCSIRT（Computer Security Incident Response Team）と呼ぶ。上記のステップを管理し、被害を最小限に抑えることを目的とする。専門的な技術を持つメンバーで構成されることが多く、それぞれが専門に合った役割を担う。

インシデントレスポンスにはSIEMやSOARなどのソリューションを用いる。

SIEM（Security Information and Event Management）

ファイアウォール、IDS/IPS、プロキシなど、組織のあらゆる層に設置したIT機器、セキュリティ機器から出力されるログやデータを一元的に集約して、各データの相関分析を実施し、サイバー攻撃などの脅威を検知するシステム。

SOAR（Security Orchestration, Automation and Response）

組織内のさまざまなセキュリティ機器やプラットフォームなどを集約し、脅威の検知や分析、インシデント発生時の対応などを自動化するソリューション。インシデントが発生時のプロセスをあらかじめ定義しておき、その内容に従って、情報収集や初期調査、報告などを行う。

インシデントは予期せず発生するものである。だからこそ被害を最小限に抑えるためのインシデントレスポンスは、早急に準備しておきたい。