インシデント対応計画とは？セキュリティ事故への備えを解説

インシデント対応計画とは

インシデント対応計画（Incident Response Plan, IRP）とは、セキュリティインシデントが発生した際に、被害を最小化し、迅速に復旧するための対応手順を事前に策定した文書です。「何が起きたら、誰が、何を、どの順番で行うか」を明確に定めます。

NIST（米国国立標準技術研究所）のSP 800-61「コンピュータセキュリティインシデント対応ガイド」（初版2004年、改訂版2012年）は、インシデント対応のライフサイクルとして「準備」「検知・分析」「封じ込め・根絶・復旧」「事後活動」の4フェーズモデルを提示しています。このモデルは世界中のCSIRT（Computer Security Incident Response Team）で標準的に採用されています。

プロジェクトにおいてインシデント対応計画が不可欠なのは、インシデント発生時の混乱の中で冷静な判断を期待するのは困難であり、事前に合意された手順があることで初動対応の質を大幅に向上できるからです。

構成要素

インシデント対応計画は、NISTの4フェーズモデルに沿って構成されます。

4フェーズモデル

フェーズ	主な活動
準備	体制構築、ツール整備、連絡網作成、訓練実施
検知・分析	異常の検知、インシデントの判定、影響範囲の特定
封じ込め・根絶・復旧	被害拡大防止、原因除去、システム復旧
事後活動	原因分析、再発防止策、報告書作成、計画の改善

インシデント分類

重大度を定義し、分類ごとの対応レベルを定めます。たとえば、レベル1（情報収集段階）、レベル2（限定的な影響）、レベル3（広範な影響）、レベル4（事業継続に影響）の4段階で分類し、各レベルに応じたエスカレーション先と対応時間の目標を設定します。

役割と責任

インシデントコマンダー（対応全体の指揮）、テクニカルリード（技術的な調査・対処）、コミュニケーションリード（社内外への連絡）、法務リエゾン（法的対応の判断）の役割を明確に定め、代理者も指定します。

実践的な使い方

ステップ1: インシデント対応体制を構築する

CSIRTまたはインシデント対応チームを組成します。チームメンバーの選定、役割の割り当て、連絡手段の確保、エスカレーションフローの策定を行います。24時間対応が必要な場合はオンコール体制も整備します。

ステップ2: 対応手順書を作成する

インシデントの種類（マルウェア感染、不正アクセス、情報漏洩、DoS攻撃など）ごとに、具体的な対応手順をプレイブックとして文書化します。各手順には判断基準、実施手順、使用ツール、完了条件を記載します。

ステップ3: 訓練を実施する

卓上演習（テーブルトップエクササイズ）やシミュレーション訓練を定期的に実施します。想定シナリオに基づき、チームメンバーが計画通りに行動できるかを検証し、課題を洗い出して計画を改善します。

活用場面

• システム開発プロジェクトの本番稼働前の運用準備
• クラウドサービスの導入・移行プロジェクト
• 外部委託先を含むプロジェクトでの共同対応体制の構築
• 規制対応（金融庁のサイバーセキュリティガイドライン等）への準拠
• 事業継続計画（BCP）の一環としての整備

注意点

連絡網の更新漏れが初動を遅らせる

人事異動や組織変更により、連絡先や役割の担当者が変わることは頻繁に起こります。連絡網が最新でなければ、インシデント発生時に適切な人物に連絡が取れず、初動が大幅に遅れます。四半期ごとの連絡網更新と、更新確認のための定期的な通報テストを実施すべきです。

技術的対応に偏りすぎる

インシデント対応は技術的な封じ込めだけでなく、経営層への報告、顧客への通知、規制当局への届出、メディア対応など、コミュニケーション面の対応も含みます。技術チームだけで計画を策定すると、これらの非技術的な対応が抜け落ちやすくなります。法務、広報、経営企画など、関連部門を計画策定に巻き込むことが重要です。

まとめ

インシデント対応計画は、セキュリティ事故に対する組織の備えです。NISTの4フェーズモデルに沿って準備・検知・対処・事後活動の手順を事前に策定し、定期的な訓練で実効性を検証します。計画の鮮度を維持し、技術面とコミュニケーション面の両方をカバーすることで、インシデント発生時の被害を最小限に抑えることができます。