初動の目的は3つだけ:証拠・封じ込め・意思決定

初動でやるべきことは多そうに見えますが、実は目的は3つに集約できます。

  • 証拠を守る:原因分析と説明責任に必要なログ、時系列、メモリなどを残す
  • 被害を止める:横展開、追加侵害、情報流出を抑える
  • 意思決定を作る:誰が判断し、誰が報告するかを固定する

ポイント

この3つを守る動きが「正しい初動」です。逆に、この3つを壊す行動が“初動でやってはいけないこと”になります。

初動の全体像:「観測 → 仮説 → 封じ込め → 証拠確保 → 指揮系統」

初動は“とにかく何かする”ではなく、順序が大事です。おすすめの流れは以下です。

  1. 観測:何が起きたかを事実として拾う
  2. 仮説:侵害のタイプを想定する
  3. 封じ込め:広がる前に最小限で止める
  4. 証拠確保:後で説明できる材料を残す
  5. 指揮系統:判断者と報告者を固定する

この順番を守るだけで、対応の「後戻り」が大きく減ります。

ステップ1:観測(“起きたこと”を確定する)

最初の作業は「原因究明」ではなく、今何が起きているかの確定です。ここで情報を雑に扱うと、その後のすべてが崩れます。

最低限、次の情報を集めます。

  • 検知元(EDR / SIEM / FW / IdP / ユーザー申告)
  • 端末名、IP、ユーザー、部署
  • 検知時刻(タイムゾーンも含む)
  • 何が検知されたか(プロセス名、ハッシュ、通信先)
  • 影響(暗号化、ログイン不可、情報漏えい疑いなど)

ここで重要なのは、推測で話さないことです。事実と推測は分けて記録します。

ステップ2:仮説(インシデントの型を決める)

初動では完璧な原因究明は不要ですが、型を決めると優先順位が整理されます。

よくある型は次の通りです。

  • 端末感染型:マルウェア、情報窃取、初期侵入
  • アカウント侵害型:フィッシング、セッションクッキー窃取、MFA疲労攻撃
  • 内部侵害型:VPN経由、RDP経由、脆弱性悪用
  • ランサムウェア型:暗号化+恐喝、または情報流出を伴う脅迫

この分類が決まると、端末隔離、アカウント停止、ネットワーク遮断など、封じ込めの方向性が選びやすくなります。

ステップ3:封じ込め(“最小限で止める”が基本)

封じ込めは最重要ステップですが、やりすぎは逆効果になる場合があります。基本はピンポイント封じ込めです。

  1. 対象端末を隔離(EDR隔離 / ネットワーク遮断)
  2. 疑わしいアカウント停止(特に管理者、VPN、メール)
  3. 怪しい通信先のブロック(C2や不審ドメイン)
  4. 横展開経路の遮断(SMB、RDP、管理系ポート)

「全部落とす」は最後の手段です。証拠収集や遠隔操作まで止まり、かえって詰むことがあります。

ステップ4:証拠確保(あとで詰まないための生命線)

証拠確保は“調査のため”だけではありません。説明責任のために必要です。

最低限確保したい証拠は次の通りです。

  • EDRアラートの詳細(プロセスツリー、コマンドライン)
  • ネットワーク通信ログ(宛先IP、ドメイン、ポート)
  • 認証ログ(IdP、VPN、メール)
  • 該当端末のイベントログ
  • タイムラインメモ(誰がいつ何をしたか)

特に「誰が何をしたか」のメモは、後から必ず効いてきます。インシデント対応は、技術戦というより“時系列の裁判”に近い側面があります。

ステップ5:指揮系統(意思決定者を固定する)

初動で最も失敗しやすいのがここです。現場が独断で動き始めると、技術対応より先に説明が壊れます。

最低限、次を決めます。

  • インシデントコマンダー(最終責任者)
  • 技術判断者(封じ込め / 復旧の判断)
  • 対外窓口(顧客、取引先、広報、法務)
  • 連絡チャネル(Slack / Teams / 電話、記録方法)

誰が決めるかが曖昧だと、対応速度より先に組織がバラバラになります。

現場で使える:初動チェックリスト(印刷OK)

ここからは、そのまま運用に貼れる短文チェックリストです。

〖初動 0〜15分〗状況確定

  • □ 検知内容をスクリーンショットまたはメモで保存した
  • □ 対象端末 / ユーザー / 時刻を確定した
  • □ “事実”と“推測”を分けて記録した
  • □ 影響(暗号化・情報漏えい疑い)を確認した

〖初動 15〜30分〗封じ込め

  • □ 対象端末を隔離した(EDR / ネットワーク)
  • □ 疑わしいアカウントを停止した(優先:管理者 / VPN / メール)
  • □ 不審な通信先をブロックした
  • □ 横展開経路(SMB / RDP)を意識して追加対策した

〖初動 30〜60分〗証拠と意思決定

  • □ EDRのプロセスツリー / コマンドラインを保存した
  • □ 認証ログ(IdP / VPN / メール)を確保した
  • □ 対外連絡の承認者を固定した
  • □ いつ何を誰がしたかタイムラインを更新した

まとめ:初動は「早さ」より「後で説明できること」が勝つ

初動で大事なのは、英雄的に頑張ることではありません。壊さずに止めることです。

このチェックリストをベースに、自社の IdP、EDR、監査ログ、連絡体制に合わせて項目を増やしていくだけで、初動の質は確実に上がります。

まずは、検知から60分以内に何をするかを1枚で見える化するところから始めるのがおすすめです。