インシデント対応の初動で“やるべきこと”完全版（チェックリスト付き）｜最初の60分で勝負が決まる

サイバーインシデントの対応で、被害を最小化できるかどうかは「検知できたか」だけでは決まりません。
本当の分かれ道は、最初の60分に「何をやったか／何をやらなかったか」です。

初動を間違えると、攻撃者は横展開（別端末への侵入）や情報窃取を続け、こちらはログも証拠も失って「何が起きたか」が説明できなくなります。

この記事では、インシデント対応の初動を“再現性のある型”として整理します。
さらにそのまま現場で使える「チェックリスト」も掲載します。

---

初動の目的は3つだけ：証拠・封じ込め・意思決定

初動でやるべきことは多そうに見えますが、目的はこの3つに集約できます。

• 証拠を守る：原因分析と説明責任に必要（ログ、時系列、メモリ）
• 被害を止める：横展開・追加侵害・情報流出を抑える
• 意思決定を作る：誰が判断し、誰が報告するかを固定する

この3つを守る動きが「正しい初動」です。逆に言えば、この3つを壊す行動が“初動でやってはいけないこと”になります。

---

初動の全体像：「観測 → 仮説 → 封じ込め → 証拠確保 → 指揮系統」

初動は“とにかく何かする”ではなく、順序が大事です。おすすめの流れは以下です。

1. 観測：何が起きたかを事実として拾う
2. 仮説：侵害のタイプを想定する（端末単体？アカウント侵害？）
3. 封じ込め：広がる前に最小限で止める
4. 証拠確保：後で説明できる材料を残す
5. 指揮系統：判断者と報告者を固定する

この順番を守るだけで、対応の「後戻り」が激減します。

---

ステップ1：観測（“起きたこと”を確定する）

最初の作業は「原因究明」ではなく、いま何が起きているかの確定です。ここで情報を雑に扱うと、後の全てが崩れます。

最低限集める情報：

• 検知元（EDR / SIEM / FW / IdP / ユーザー申告）
• 端末名、IP、ユーザー、部署
• 検知時刻（タイムゾーンも）
• 何が検知されたか（プロセス名、ハッシュ、通信先）
• 影響（暗号化？ログイン不可？情報漏えい疑い？）

ここで重要なのは「推測で話さない」ことです。推測は推測、事実は事実で分けてメモします。

---

ステップ2：仮説（インシデントの型を決める）

次にやるのは“分類”です。初動では完璧な原因究明は不要ですが、型を決めると優先順位が整理されます。

よくある型：

• 端末感染型：マルウェア、情報窃取、初期侵入
• アカウント侵害型：フィッシング、セッションクッキー窃取、MFA疲労攻撃
• 内部侵害型：VPN経由、RDP経由、脆弱性悪用による侵入
• ランサムウェア型：暗号化＋恐喝（情報流出の脅し）

この分類が決まると、封じ込めの手段（端末隔離／アカウント無効化／ネットワーク遮断）が選べます。

---

ステップ3：封じ込め（“最小限で止める”が基本）

封じ込めは「被害を止める」最重要ステップですが、やり過ぎは逆効果になる場合があります。
基本はピンポイント封じ込めです。

封じ込めの優先度（おすすめ）：

1. 対象端末を隔離（EDR隔離／ネットワーク遮断）
2. 疑わしいアカウント停止（特に管理者・VPN・メール）
3. 怪しい通信先のブロック（C2や不審ドメイン）
4. 横展開経路の遮断（SMB、RDP、管理系ポート）

「全部落とす」は最後の手段です。証拠収集や遠隔操作ができなくなり、むしろ詰むことがあります。

---

ステップ4：証拠確保（あとで詰まないための生命線）

証拠確保は“調査のため”だけではありません。説明責任のために必要です。

最低限確保したい証拠：

• EDRアラートの詳細（プロセスツリー／コマンドライン）
• ネットワーク通信ログ（宛先IP、ドメイン、ポート）
• 認証ログ（IdP、VPN、メール）
• 該当端末のイベントログ
• タイムラインメモ（誰がいつ何をしたか）

特に「誰が何をしたか」のメモは、後から絶対に効きます。
インシデント対応は、技術戦というより“時系列の裁判”に近いです。

---

ステップ5：指揮系統（意思決定者を固定する）

初動で最も失敗しやすいのはここです。
現場が独断で動き始めると、技術対応より先に「説明が壊れます」。

最低限決めること：

• インシデントコマンダー（最終責任者）
• 技術判断者（封じ込め／復旧の判断）
• 対外窓口（顧客・取引先・広報・法務）
• 連絡チャネル（Slack/Teams/電話、記録方法）

---

現場で使える：初動チェックリスト（印刷OK）

ここからは「そのまま運用に貼れる」チェックリストです。
チェックが付けられるように、短文で書きます。

【初動 0〜15分】状況確定

• □ 検知内容をスクショ・メモした
• □ 対象端末／ユーザー／時刻を確定した
• □ “事実”と“推測”を分けて記録した
• □ 影響（暗号化・情報漏えい疑い）を確認した

【初動 15〜30分】封じ込め

• □ 対象端末を隔離（EDR/ネットワーク）
• □ 疑わしいアカウントを停止（優先：管理者/VPN/メール）
• □ 不審な通信先をブロック
• □ 横展開経路を意識した（SMB/RDP）

【初動 30〜60分】証拠と意思決定

• □ EDRのプロセスツリー／コマンドラインを保存
• □ 認証ログ（IdP/VPN/メール）を確保
• □ 対外連絡の承認者を固定
• □ いつ何を誰がしたかタイムラインを更新

---

まとめ：初動は「早さ」より「後で説明できること」が勝つ

初動で大事なのは、英雄的に頑張ることではありません。
“壊さずに止める”ことです。

このチェックリストをベースに、あなたの環境（IdPやEDR、監査ログ）に合わせて項目を増やすだけで、初動の質が確実に上がります。

関連記事