インシデント発生後の72時間対応ガイド

公開日：2025年10月　カテゴリ：中小企業向け実践ガイド

サイバー攻撃の被害は、どんなに対策していても“ゼロ”にはできません。 重要なのは、「起きたあとに何をどうするか」です。 実際、初動対応の72時間が明暗を分けます。

本記事では、インシデント発生後に中小企業が取るべき対応を、 時間軸に沿って分かりやすく解説します。

1. インシデントとは？

「ウイルス感染」「情報漏えい」「不正アクセス」など、 セキュリティ上の異常・疑いが発生した状態をインシデントと呼びます。 特徴は次の通りです：

• 原因が不明でも“疑い”の時点でインシデント扱いにする
• 「誤検知かもしれない」でも報告対象にする
• 被害範囲を特定するまで時間がかかるのが通常

初期の“軽視”が、被害拡大の最大要因になります。

2. 発生0〜6時間：初動対応

インシデントが発覚した直後、最も重要なのは「被害拡大の防止」です。

• ① 被害端末の隔離：ネットワークから切断（LANケーブル／Wi-Fiオフ）
• ② 初期報告：上長・情報管理者・経営層へ即時連絡
• ③ ログ保全：削除・再起動せず、ログや画面キャプチャを保存
• ④ 社外への発信禁止：SNS・メールでの不用意な発言を防止

「再起動すれば直るかも」は厳禁です。 痕跡を消してしまうと、調査が困難になります。

3. 発生6〜24時間：事実確認と初期報告

この段階では、「何が起きたのか」「どこまで影響があるのか」を整理します。

• 感染経路（メール／USB／リモート接続など）を推定
• 影響範囲（社内／顧客情報／サーバー）を仮定
• 社内チーム・経営層への一次報告をまとめる

ここで重要なのは、“不明な点を不明と書く”ことです。 憶測や曖昧な表現は、のちの混乱につながります。

4. 発生24〜48時間：外部連携と通報判断

重大な被害（個人情報漏えい、金銭被害など）が疑われる場合、 次の外部連携を検討します。

• ① 警察・IPA・個人情報保護委員会への相談
• ② 契約上の報告義務（委託元・取引先）
• ③ サイバー保険・専門調査会社への連絡

報告の遅れが「隠蔽」と誤解されることもあるため、 48時間以内に一次報告を出すことが理想です。

5. 発生48〜72時間：原因分析と再発防止の整理

専門家の調査結果や社内のログ解析をもとに、 原因・経路・対策を文書化します。

• どのシステム／アカウントが侵入経路だったか
• 防げなかった理由（設定／運用／認識の問題）
• 今後の改善策（MFA・監視・教育など）

この段階で「次回同じことが起きたら何を変えるか」を定義することが大切です。

6. 社内外への発表時のポイント

企業の信頼を守るには、報告内容の透明性が重要です。

• 被害の有無と範囲を正確に説明
• 原因・再発防止策を明示
• 謝罪よりも「今後の対応」を中心に伝える

誠実な発信は、むしろ企業イメージを高める結果にもつながります。

7. 初動対応チェックリスト

項目	対応済み
被害端末のネットワーク遮断	☐
ログ・証跡データの保存	☐
上長・責任者への初期報告	☐
影響範囲の一次整理	☐
警察・IPAなどへの相談	☐
社外公表の要否判断	☐

8. 72時間後にやるべきこと

• 調査報告書（簡易版）をまとめ、経営層・取引先へ共有
• 対応手順・連絡体制を社内規程に反映
• 再発防止のための教育・訓練を実施

インシデント対応は一度きりではありません。 この経験を「次への強化」に変えることが最も価値ある対応です。

まとめ：慌てず、隠さず、チームで動く

インシデント対応の基本は、「慌てない」「隠さない」「一人で抱えない」こと。 起きた事実を正確に共有し、チーム全体で行動すれば、被害は最小限に抑えられます。

72時間対応ガイドを社内ルールとして共有し、いざという時に“迷わない組織”を目指しましょう。

その他SNSでも
様々な情報をお届けしていますので
ぜひチェックしてください！↓