事業運営

サイバー攻撃発生時の初動対応|被害を抑える手順と相談先を整理

経営リスクナビ編集部

サイバー攻撃を受けた、あるいはその疑いがある状況では、冷静な判断が難しいものです。しかし、パニックに陥り自己判断で対応すると、かえって証拠を消去し、被害を致命的に拡大させる危険があります。被害を最小限に抑えるには、確立された手順に基づく迅速かつ正確な初動対応が不可欠です。この記事では、サイバー攻撃発覚時に絶対にしてはいけないNG行動と、実行すべき具体的な初動対応5ステップを解説します。

目次

被害を拡大させるNG行動

自己判断による端末の再起動・シャットダウン

サイバー攻撃の発生時、自己判断で端末の電源を操作(再起動・シャットダウン)することは、被害を深刻化させるため絶対に避けてください。パソコントラブルでは再起動が有効な場合が多いため、つい実行しがちですが、インシデント対応においては致命的な過ちとなり得ます。電源操作は、証拠隠滅被害拡大という二重のリスクを招きます。

電源操作が危険な理由は以下の通りです。

電源操作が招く主なリスク
  • 揮発性データの消失: メモリ上には、マルウェアの活動状況や通信記録といった攻撃の痕跡(揮発性データ)が存在します。これらは電源を切ると瞬時に消え、原因究明が極めて困難になります。
  • マルウェアの活動活発化: 一部のマルウェアは、再起動をトリガーにデータの暗号化や他端末への感染拡大を一気に進めるよう設計されています。
  • ファイルシステムの破損: 強制終了により、OSや重要なファイルが破損し、復旧をさらに困難にする可能性があります。

ランサムウェアの脅迫画面を見てパニックになり電源を切った結果、復号キーの痕跡がメモリから消え、データ復旧の可能性が絶たれたケースもあります。インシデントを検知したら、物理的な危険(発煙など)がない限り、端末は稼働させたままの状態を維持し、専門家の指示を待つことが鉄則です。

感染端末の安易なネットワーク再接続

インシデント対応で一度ネットワークから隔離した端末を、十分な安全確認なしに再接続することは厳禁です。被害を抑えるための隔離措置を無意味にし、被害を再燃・拡大させる危険な行為です。ネットワークへの再接続は、専門家による完全な安全宣言が出た後にのみ許可されるべきです。

安易な再接続が危険な理由は、主に以下の2点です。

ネットワーク再接続の危険性
  • マルウェアの水平展開(ラテラルムーブメント): ネットワークに再接続した途端、潜伏していたマルウェアが活動を再開し、他のサーバーやPCへと感染を広げる可能性があります。
  • 攻撃者による遠隔操作の再開: 攻撃者が外部から端末を遠隔操作している場合、再接続は彼らに再び侵入経路を与えてしまうことになります。

業務の遅れを取り戻そうと自己判断でLANケーブルを接続した結果、基幹サーバーまでランサムウェアの被害が拡大した事例が後を絶ちません。たとえウイルス対策ソフトのスキャンで何も検出されなくても、巧妙に隠蔽されたマルウェアが残存している可能性を常に考慮すべきです。

証拠となりうるログやファイルの削除

サイバー攻撃の痕跡を示すシステムログや不審なファイルを自己判断で削除する行為は、原因究明を不可能にする重大な過失です。慌ててファイルを消したり、システムを初期化したりすると、攻撃手口や侵入経路、被害範囲を特定する唯一の手がかりを失うことになります。すべてのデジタルデータは法的な証拠となり得るため、現状のまま保全する必要があります。

ログやファイルは、専門家が攻撃を分析するための重要な証拠となります。

ログやファイルが持つ証拠価値
  • 侵入経路の特定: 誰が、いつ、どのように侵入したかを解明する手がかりとなります。
  • 被害範囲の確定: どの情報が、どれくらい盗まれたのかを客観的に証明する根拠となります。
  • 再発防止策の立案: 攻撃者の手口を分析し、同じ攻撃を防ぐための具体的な対策を立てる基礎情報となります。

管理者が事態を隠蔽しようとサーバーのアクセスログを消去する行為は、内部不正を疑われるだけでなく、サイバー保険の請求に必要な客観的証拠を自ら放棄する行為に等しいです。不審なファイルやログを見つけても絶対に削除や移動はせず、画面を写真に撮るなどして記録し、専門家に引き継いでください。

関係者へのインシデント報告の遅延

インシデントの兆候を察知しながら、経営層や情報システム部門への報告を遅らせることは、被害を致命的に拡大させる最大の原因です。「自分だけで解決できる」「報告して怒られたくない」といった理由で報告をためらうと、組織的な初動対応が遅れ、攻撃者に侵害を広げる時間を与えてしまいます。

報告の遅延が許されないのは、サイバー攻撃の進行スピードが極めて速く、初期段階での封じ込めが被害抑制の鍵を握るからです。例えば、ランサムウェアは数十分でネットワーク全体に感染を広げます。報告が数時間遅れるだけで、被害は一部門から全社へと拡大し、事業継続を脅かす事態に発展しかねません。

不審なメールを開いてしまった従業員が報告を怠ったため、翌日には基幹システムがダウンしたという事例もあります。異常を検知した際は、どんなに些細なことに思えても、直ちに定められたルートで報告することが全従業員の義務です。企業は、報告者を責めない心理的安全性の高い文化を醸成し、悪い情報ほど早く上がる体制を構築する必要があります。

社内報告における注意点|憶測の拡散や過度な情報制限を避ける

社内でインシデントを報告する際は、事実と推測を明確に区別し、正確な情報伝達を徹底することが重要です。不確かな憶測が事実かのように広まると、組織内に不要な混乱を招き、経営層の意思決定を誤らせる原因となります。

一方で、過度に情報を制限することも問題です。関係部署への情報共有が遅れると、各部署で実施できるはずの自衛策が取れず、被害が拡大する可能性があります。

報告の際は、以下のポイントを心がけ、客観的な事実のみを簡潔に伝えることが求められます。

正確な社内報告のポイント
  • いつ(When): 異常がいつ発生したか
  • どこで(Where): どの端末やシステムで発生したか
  • 何が(What): どのような事象が起きているか(エラーメッセージ、ファイルの暗号化など)
  • 誰が(Who): 誰が発見したか

原因や被害の全容については、専門家による調査を待つ姿勢が肝心です。統一された報告窓口を定め、適切なタイミングで正確な情報を共有する仕組みを整えましょう。

発覚時の初動対応5ステップ

1. 被害端末のネットワークからの物理的隔離

インシデント対応における最初の、そして最も重要なステップは、被害が疑われる端末をネットワークから物理的に切り離すことです。これにより、マルウェアの感染拡大や、攻撃者による外部からの遠隔操作を即座に遮断できます。ソフトウェア的な遮断よりも確実なため、封じ込めの最優先手段となります。

物理的な隔離の具体的な方法
  • 有線LANの場合: PCやサーバーに接続されているLANケーブルを直接引き抜きます。
  • 無線LAN(Wi-Fi)の場合: 端末のWi-Fi機能をオフにします。
  • その他の通信: スマートフォンのテザリングやBluetoothなど、すべての無線通信機能を無効化します。

この際、端末の電源は絶対に落とさず、稼働状態を維持したままネットワーク接続のみを遮断することが重要です。この作業は、専門知識がなくても現場担当者が直ちに実行できる最も効果的な応急処置です。

2. 被害状況の把握と事実関係の記録

ネットワーク隔離後、次に被害状況を客観的に把握し、事実を正確に記録します。ここで収集した情報は、後の詳細調査や経営判断の基礎となるため、推測を交えずに事実のみを記録することが不可欠です。

記録すべき主な情報
  • 発見日時: 異常を最初に発見した正確な時刻
  • 発見者と場所: 誰が、どの部署で発見したか
  • 端末情報: 該当するPCやサーバーの資産管理番号、IPアドレスなど
  • 画面の状況: エラーメッセージや脅迫文などをスマートフォン等で写真撮影する
  • 発生直前の操作: どのような操作をした後に異常が発生したか
  • 周辺への影響: 他の端末で同様の異常がないか

これらの情報を、事前に用意したインシデント報告シートなどに時系列で記録します。証拠を破壊する恐れがあるため、感染端末を操作して内部を確認する行為は避けてください。

3. 経営層・関連部署へのエスカレーション

初期的な事実関係をまとめたら、速やかに経営層、および法務・広報などの関連部署へ報告(エスカレーション)します。サイバー攻撃は単なるシステム障害ではなく、事業継続や法的責任を伴う重大な経営課題です。組織としての迅速な意思決定を行うため、早期の情報共有が不可欠です。

エスカレーションは、部門を超えた連携体制を構築するために重要です。

エスカレーションの目的
  • 経営判断の要請: システムの全面停止やサービスの一時中断など、事業に大きな影響を及ぼす判断には経営トップの承認が必要です。
  • 法的リスクの評価: 情報漏えいの可能性がある場合、法務部門が個人情報保護法などの法的義務を検討します。
  • 対外対応の準備: 広報部門が顧客やメディアからの問い合わせに備え、情報開示の準備を開始します。

報告の際は、技術的な詳細よりも「事業にどのような影響があるか」という視点で説明することが、経営層の理解を促す上で重要です。

4. 外部の専門機関への相談・連絡

社内での情報共有と並行して、サイバーセキュリティを専門とする外部機関に速やかに連絡します。現代の巧妙なサイバー攻撃に対し、自社リソースだけで原因を特定し、安全に復旧することは極めて困難です。初期段階から専門家の支援を仰ぐことで、対応の誤りを防ぎ、被害拡大を最小限に抑えます。

主な相談・連絡先
  • インシデント対応専門業者: 事前に契約しているセキュリティベンダーがいれば、最優先で連絡します。
  • 公的機関: 契約業者がいない場合でも、IPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」などが初動対応の助言を提供しています。
  • 警察: 各都道府県警察のサイバー犯罪相談窓口へも通報を検討します。

連絡する際は、ステップ2で記録した事実関係を正確に伝えることで、専門家による的確な状況判断(トリアージ)が可能になります。平時から緊急連絡先リストを整備しておくことが重要です。

5. 証拠保全の実施

初動対応の最終段階として、デジタル証拠の保全を専門家と連携して行います。これは、後の原因究明、被害範囲の特定、警察への届け出、サイバー保険の請求などに不可欠なプロセスです。単にファイルをコピーするのではなく、法的な証拠能力を維持するための厳格な手続きが求められます。

証拠保全は、主に以下の専門的な手法で行われます。

主な証拠保全の手法
  • ディスクイメージの取得: ハードディスクやSSDの内容をビット単位で完全に複製し、データの完全性を担保します。
  • メモリ情報の収集(メモリダンプ): 電源を切ると消えてしまうメモリ上の揮発性データを専用ツールで抽出し、マルウェアの活動記録などを確保します。

これらの作業は高度な専門知識を要するため、原則として社内担当者は行わず、専門家が到着するまで端末に誰も触れないように管理することに徹してください。適切な証拠保全が、その後のすべての対応の礎となります。

【攻撃タイプ別】具体的な対応手順

ランサムウェアに感染した場合の対処

ランサムウェア感染が疑われる場合、時間との勝負になります。「身代金要求画面が表示された」「ファイル名が書き換えられた」といった兆候を発見したら、以下の手順で迅速に対応します。

ランサムウェア感染時の対応手順
  1. ネットワークからの即時隔離: 感染端末のLANケーブルを抜き、無線通信を全て無効化します。これにより、共有サーバーなどへの被害の横展開を食い止めます。
  2. 共有領域のアクセス確認: ファイルサーバー等のアクセスログを確認し、不審な暗号化処理が進んでいないか調査します。被害が拡大している場合は、サーバー自体のネットワーク遮断も検討します。
  3. 影響範囲の特定: どのファイルやシステムが暗号化されたかを把握し、業務への影響をリストアップします。
  4. 脅迫への対応: 攻撃者への連絡や身代金の支払いは絶対に行いません。支払ってもデータが復旧する保証はなく、犯罪組織に資金提供するだけです。
  5. バックアップからの復旧: 専門家と連携してマルウェアを完全に駆除した後、汚染されていないクリーンなバックアップデータを用いてシステムを復元します。

ランサムウェア対策の要は、迅速な隔離安全なバックアップからの復旧です。

不正アクセスによる情報漏えいが疑われる場合

情報漏えいが疑われる場合は、被害拡大の防止と並行し、ログに基づく客観的な事実調査が最優先となります。どのような情報が、どれだけ流出したのかを正確に特定することが、その後の法的対応の前提となります。

情報漏えい発覚時の対応手順
  1. 侵入経路の遮断: 不正アクセスの原因となっているアカウントの凍結、パスワードの強制変更、脆弱性のあるシステムの停止などを行い、これ以上の被害を防ぎます。
  2. ログの解析と追跡: サーバーのアクセスログや通信ログを解析し、攻撃者がどのデータにアクセスし、外部に何を送信したのかを特定します。
  3. 被害内容の精査: 漏えいした可能性のあるデータの内容を分析し、個人情報(特に要配慮個人情報)や機密情報が含まれていないか、影響人数などを把握します。
  4. 法的義務の確認: 法務部門と連携し、個人情報保護法に基づく監督官庁(個人情報保護委員会)への報告や、本人への通知が必要かどうかを判断します。
  5. 対外公表の準備: 事実が確定次第、隠蔽することなく、速やかに顧客や取引先へ通知・公表する準備を進めます。

不正アクセス対応では、侵入の遮断、ログに基づく事実認定、透明性の高い情報開示を一体で進めることが重要です。

DDoS攻撃でサービスが停止した場合

DDoS攻撃(分散型サービス妨害攻撃)によりWebサイトなどが停止した場合、サービスの迅速な復旧が最優先目標となります。データの窃取が目的ではありませんが、事業機会の損失や信用の低下を防ぐため、迅速な対応が求められます。

DDoS攻撃を受けた際の対応手順
  1. 攻撃の検知と分析: 監視システムのアラートや顧客からの報告をもとに、サーバーの負荷状況や通信トラフィックを分析し、攻撃の事実を確認します。
  2. 通信の遮断(限定的): 特定のIPアドレスからの攻撃であれば、ファイアウォールでその通信を遮断します。しかし、多くのDDoS攻撃は送信元が分散しているため、この方法だけでは対処困難です。
  3. 上位事業者への連絡: 契約しているインターネットサービスプロバイダ(ISP)やクラウド事業者に緊急連絡し、通信経路の上流で異常なトラフィックを遮断・軽減してもらう「スクラビング」を依頼します。
  4. 防御システムの活用: WAF(Web Application Firewall)などの専用防御システムを利用し、正常な通信と攻撃トラフィックを分離して、サービスへの影響を最小限に抑えます。

DDoS攻撃への対応は自社だけでは限界があるため、外部の通信事業者やセキュリティサービスとの連携が不可欠です。

関係各所への報告と相談先

警察(サイバー犯罪相談窓口)への通報

サイバー攻撃は不正アクセス禁止法などに抵触する明確な犯罪行為です。被害が発覚した場合、各都道府県警察が設置する「サイバー犯罪相談窓口」へ速やかに通報・相談することが推奨されます。

警察への通報には、以下のメリットがあります。

警察へ通報するメリット
  • 捜査による犯人特定: 通報が、攻撃者の特定や検挙につながる可能性があります。
  • 被害拡大防止への貢献: 提供した情報が、他の企業への注意喚起や類似事件の捜査に役立ちます。
  • 復号ツールの提供: 一部のランサムウェアに対しては、警察が暗号を解除する「復号ツール」を保有・提供している場合があります。
  • 対外的な説明責任: 「警察と連携して対応している」と公表することで、ステークホルダーへの説明責任を果たす一助となります。

平時から相談窓口の連絡先を把握し、有事の際はためらわずに相談できる体制を整えておくことが重要です。

個人情報保護委員会への報告義務

個人データの漏えい、またはその恐れが生じた場合、個人情報保護法に基づき、個人情報保護委員会への報告が法的に義務付けられています。報告義務の対象となる事案が発生した場合、速やかに所定の手続きで報告しなければ、行政指導や罰則の対象となる可能性があります。

特に、以下のケースでは報告義務が生じます。

報告義務の対象となる主なケース
  • 要配慮個人情報(思想、信条、病歴など)の漏えい
  • 不正アクセスなど、不正な目的による漏えい
  • 漏えいした個人データに係る本人の数が1,000人を超える場合

報告には期限があり、事態を把握してから「速報(3~5日以内)」「確報(30日以内、不正アクセスの場合は60日以内)」の提出が必要です。法務部門と連携し、法令を遵守した対応を徹底してください。

インシデント対応専門業者への依頼

自社のリソースだけでの対応が困難な場合は、サイバーインシデント対応を専門とする外部業者へ速やかに支援を依頼することが不可欠です。専門家は、高度な技術と経験に基づき、自社だけでは不可能な調査や復旧を実現します。

専門業者に依頼すべき理由は以下の通りです。

専門業者へ依頼する理由
  • 高度な技術力: マルウェアの解析やデジタル・フォレンジック調査には、専用のツールと知見が必要です。
  • 客観性の担保: 第三者による客観的な調査報告書は、監督官庁や取引先への説明責任を果たす上で高い信頼性を持ちます。
  • 迅速な復旧支援: 攻撃者の痕跡を完全に除去し、安全なシステム復旧までの道筋を示してくれます。

平時から信頼できる業者と契約を結んでおくことで、有事の際に迅速な支援を受けられる体制を構築できます。

顧客・取引先への通知タイミングと内容

情報漏えいなどにより顧客や取引先に影響が及ぶ場合、適切なタイミングでの誠実な通知が企業の信頼を維持する鍵となります。事実の隠蔽や通知の遅延は、企業の評判を著しく損ないます。通知の目的は、関係者がパスワード変更などの自衛策を講じ、二次被害を防ぐ機会を提供することです。

事実関係がある程度判明した段階で、速やかに第一報を発信します。通知には以下の内容を盛り込むことが一般的です。

顧客・取引先への通知に含めるべき内容
  • 発生した事象: 何が起きたのかという客観的な事実
  • 漏えいの可能性がある情報: 氏名、住所、パスワードなど、漏えいした可能性のある情報の種類
  • 現在の対応状況: 被害拡大防止策や調査の進捗など
  • 顧客へのお願い: パスワードの変更や不審な連絡への注意喚起など
  • 問い合わせ窓口: 本件に関する専用の問い合わせ先

不確かな憶測は避け、調査中の事項は正直にその旨を伝え、継続的に情報を提供する姿勢が重要です。

対外公表の判断基準|法的義務と事業リスクのバランス

インシデントの対外公表は、法令上の義務事業継続上のリスクを総合的に比較し、経営トップが慎重に判断すべき事項です。個人情報保護法などで報告・通知が義務付けられている場合を除き、全ての事案を公表することが最善とは限りません。

公表を判断する上では、以下の点を考慮する必要があります。

判断要素 考慮すべき点
法的義務 個人情報保護法など、法律で報告や通知が義務付けられているか。
社会的影響 社会インフラに関わるシステムなど、公表しないことで社会的な混乱を招く可能性はないか。
二次被害のリスク 公表により、顧客が自衛策を講じ、二次被害を防ぐ必要性は高いか。
攻撃のエスカレート 攻撃者との交渉中に公表することで、相手を刺激し、事態を悪化させる危険はないか。
対外公表の判断基準

公表のタイミングや内容は、警察や弁護士などの専門家と協議の上、戦略的に決定することが求められます。

インシデント後の復旧と再発防止策

バックアップからのシステム復旧手順

サイバー攻撃で被害を受けたシステムを復旧するには、安全なバックアップデータを用いるのが基本です。ただし、感染原因が残ったまま復旧すると再感染のリスクがあるため、厳格な手順を踏む必要があります。

安全な復旧は、以下のステップで進めます。

安全なバックアップ復旧の手順
  1. クリーンな環境の構築: 被害を受けたサーバーや端末を完全に初期化し、OSを再インストールします。その際、最新のセキュリティパッチを全て適用します。
  2. バックアップデータの検証: 使用するバックアップデータ自体がマルウェアに感染していないか、セキュリティツールで徹底的にスキャンします。
  3. 隔離環境でのテスト: 安全性が確認できたデータを、まずネットワークから隔離されたテスト環境に復元し、正常に動作するかを検証します。
  4. 本番環境への移行: テスト環境で問題がないことを確認した上で、初めて本番環境へデータを移行し、サービスを再開します。

安全が確認できないまま復旧を急ぐことは、それまでの対応を無駄にする最も危険な行為です。

被害原因の分析と脆弱性の解消

インシデント対応が一段落したら、「なぜ攻撃を許してしまったのか」という根本原因を徹底的に分析し、発見された脆弱性を解消することが再発防止の鍵となります。原因を放置すれば、同じ手口で再び攻撃されるリスクが残ります。

脆弱性の解消に向けた対策例
  • 技術的対策: 侵入経路となった機器のファームウェアを更新する、脆弱なパスワードを禁止し多要素認証を導入する、などの対策を実施します。
  • 組織的対策: 標的型攻撃メールの訓練を定期的に実施する、従業員へのセキュリティ教育を強化するなど、人的な弱点を補強します。

フォレンジック調査で明らかになった侵入経路や攻撃手法を元に、技術と組織の両面から対策を講じることで、真のセキュリティ強化が実現します。

セキュリティポリシーの見直し

インシデントから得られた教訓を元に、組織の情報セキュリティポリシーを全面的に見直すことが重要です。テレワークの普及やクラウド利用の拡大など、働き方の変化に対応できていない古いポリシーは、新たな脅威に対する防御壁となり得ません。

セキュリティポリシーの見直しにおける視点
  • アクセス管理: 社外や私用端末からのアクセスに関するルールは適切か。
  • データ管理: クラウドサービス上に保存する情報の分類や管理方法は明確か。
  • 委託先管理: 外部委託先のセキュリティ対策を定期的に監査する仕組みはあるか。
  • インシデント対応体制: 今回の対応で明らかになった指揮系統や連絡網の課題は反映されているか。

実効性のあるポリシーへとアップデートし、全従業員への周知徹底を図ることが、組織全体のセキュリティレベルを底上げします。

インシデント対応計画(IRP)の策定

今回のインシデント対応で得た経験や反省点を基に、インシデント対応計画(IRP: Incident Response Plan)を策定または改定します。事前に明確な行動計画を定めておくことで、有事の際の混乱を防ぎ、迅速かつ統制の取れた初動対応が可能になります。

実践的なIRPには、以下の要素を盛り込むべきです。

IRPに盛り込むべき主要素
  • 対応体制と役割: 誰が指揮を執り、各部門は何をすべきかという役割分担を明確にします。
  • エスカレーションフロー: 異常検知から経営層への報告ルートと基準を定めます。
  • 連絡先リスト: 外部の専門業者、警察、弁護士など、緊急時の連絡先を一覧化します。
  • 訓練計画: 経営層も含めた参加者で、定期的に机上演習などを実施する計画を定めます。

IRPは一度作って終わりではなく、定期的な見直しと訓練を通じて、常に実用的な状態を維持することが不可欠です。

よくある質問

ランサムウェアの身代金は支払うべきですか?

結論として、身代金は絶対に支払うべきではありません。FBIなどの法執行機関やセキュリティ専門機関も、支払わないことを強く推奨しています。

身代金を支払うべきでない理由
  • データが復旧する保証がない: 支払っても、復号キーが提供されなかったり、提供されたツールが正常に動作しなかったりするケースが多発しています。
  • 犯罪組織への資金提供: 支払った金銭は、次のサイバー攻撃や他の犯罪行為の資金源となります。
  • 再攻撃のリスク増大: 「支払いに応じる企業」としてリスト化され、再び攻撃の標的になる可能性が高まります。

身代金の支払いには応じず、警察や専門家へ相談し、バックアップからの復旧を目指すことが唯一の正しい選択です。

情報漏えいの報告は法律上の義務ですか?

はい、一定の条件を満たす個人情報の漏えい等事案については、個人情報保護法に基づき、国(個人情報保護委員会)への報告と本人への通知が法的に義務付けられています。

報告義務の対象となるのは、「個人の権利利益を害するおそれが大きい」場合です。具体的には、要配慮個人情報の漏えいや不正アクセスによる漏えい、1,000人を超える漏えいなどが該当します。法令で定められた期限内に速やかに報告しなかった場合、罰則が科される可能性があります。

警察に被害を届け出るメリットは何ですか?

サイバー攻撃の被害を警察に届け出ることには、いくつかの重要なメリットがあります。

警察への被害届のメリット
  • 専門的な助言: 捜査機関が持つ豊富な事例に基づき、被害拡大防止や復旧に関する有益なアドバイスを受けられる場合があります。
  • 捜査による解決: 警察の捜査により、攻撃者が特定・検挙され、犯罪の抑止につながる可能性があります。
  • 復号ツールの入手: 一部のランサムウェアに対しては、国際的な捜査協力などを通じて警察が復号ツールを入手しており、提供を受けられることがあります。

被害を自社だけの問題と捉えず、社会全体の安全に貢献する観点からも、積極的な通報が推奨されます。

専門業者に依頼する場合の費用目安は?

インシデント対応を専門業者に依頼する際の費用は、被害の規模、調査対象となる機器の台数、調査の深度によって大きく異なります。

あくまで一般的な目安ですが、初動対応やPC1台のフォレンジック調査で数十万円から百万円以上、複数のサーバーや広範囲のネットワーク調査、システムの復旧支援まで含めると数百万円から数千万円規模になることも少なくありません。

予期せぬ高額な出費に備えるためにも、平時からサイバー保険への加入を検討し、インシデント対応費用をカバーできる体制を整えておくことが強く推奨されます。

まとめ:サイバー攻撃の被害を最小化する初動対応の要点

サイバー攻撃が発覚した際は、まず被害端末をネットワークから物理的に隔離し、電源を切らずに現状を保全することが最も重要です。自己判断による再起動やログ削除は、被害を拡大させ原因究明を困難にするため絶対に避けるべき行動です。初動対応の成否は、いかに迅速に組織的な対応へ移行できるかにかかっています。事実関係を正確に記録し、速やかに経営層や関連部署へ報告することが、その後の意思決定の質を左右します。自社のみでの対応は困難を極めるため、インシデントの兆候を掴んだら、速やかに契約しているセキュリティベンダーや警察のサイバー犯罪相談窓口など、外部の専門機関へ相談してください。本記事で解説した内容は一般的な対応手順であり、個別の状況に応じた最適な判断は専門家の助言を仰ぐことが不可欠です。平時からインシデント対応計画(IRP)を整備し、緊急連絡先を明確にしておくことが、有事の際の被害を最小限に食い止める鍵となります。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました