ランサムウェア感染、不正アクセス、情報漏えいが起きたとき、社長・管理職・担当者は何を判断し、誰に連絡し、どの順番で復旧しますか。
ライトハウスコンサルタントでは、福岡・九州の中小企業を中心に、経営者・管理職・総務担当者・情報システム担当者向けの「インシデント対応机上演習」を実施しています。
代表の橋爪兼続は、九州経済産業局等が主催した「セキュリティインシデント対応演習in大分」において、経営者層向けインシデント対応机上演習の講師を担当しました。
机上演習とは、実際にサイバー攻撃や情報漏えいが発生した場面を想定し、参加者が「その場で何を判断するか」「誰に連絡するか」「業務を止めるか」「取引先にどう説明するか」などを話し合いながら、対応手順と判断力を確認する演習です。
単なる座学研修ではなく、貴社の業務、利用システム、取引先、従業員体制に合わせたシナリオを使い、実際の危機対応に近い形で進行します。
「ランサムウェアに感染したら、まず何をすればよいか分からない」
「取引先や顧客に、いつ、誰が、何を伝えるべきか決まっていない」
「バックアップはあるが、本当に復旧できるか分からない」
「情報漏えい時の社内連絡、警察、JPCERT/CC、専門業者、顧問弁護士への相談手順が曖昧」
「SECURITY ACTION、SCS★3、取引先チェックシートへの対応として、インシデント対応体制を整えたい」
このような企業様に対し、登録情報処理安全確保支援士が、経営者にも現場担当者にも分かる形で、実践的なインシデント対応演習を設計・進行します。
このような企業様におすすめです
- ランサムウェア感染や不正アクセスが起きたときの対応手順が決まっていない
- 経営者、管理職、総務、情報システム担当者の役割分担が曖昧
- 取引先からセキュリティ体制やインシデント対応手順の確認を求められている
- SECURITY ACTION二つ星やSCS★3を見据えて、インシデント対応体制を整えたい
- 情報セキュリティ規程やインシデント対応マニュアルを作ったが、実際に使えるか確認していない
- バックアップ、復旧手順、連絡網、業務継続の実効性を確認したい
- 従業員向け研修だけではなく、経営者層の判断訓練を行いたい
- 製造業、建設業、運輸業、教育機関、医療・介護、士業、自治体関連業務など、業務停止の影響が大きい
インシデント対応机上演習とは
インシデント対応机上演習は、実際のサイバー攻撃や情報漏えいを想定した「模擬の危機対応会議」です。
参加者は、次々に提示される状況に対して、限られた情報の中で判断します。
- 感染したパソコンをどう扱うか
- システムを止めるか、業務を継続するか
- 社内の誰に報告するか
- 取引先や顧客へいつ連絡するか
- 警察、JPCERT/CC、IPA、専門業者、顧問弁護士、保険会社に相談するか
- バックアップから復旧するか
- 広報・謝罪・再発防止をどう進めるか
実際に攻撃を行う訓練ではありません。社内会議形式で、対応手順、判断基準、連絡体制、復旧方針の弱点を確認する演習です。
なぜ机上演習が必要なのか
インシデント対応で一番問題になるのは、技術的な対策だけではありません。
実際にトラブルが起きると、次のような混乱が起こりやすくなります。
- 誰が責任者なのか分からない
- 経営者への報告が遅れる
- 感染端末をそのまま使い続けてしまう
- 証拠となるログやメールを削除してしまう
- ITベンダー、取引先、顧客、警察への連絡順序が決まっていない
- バックアップがあると思っていたが、復旧できない
- 顧客説明や取引先説明の内容が社内で食い違う
- 復旧を急ぎすぎて、原因を残したまま業務を再開してしまう
机上演習では、こうした混乱を事前に体験し、貴社の対応手順を見直します。
演習で扱う主なシナリオ
1. ランサムウェア感染シナリオ
朝、社員のパソコンに身代金要求画面が表示され、共有フォルダのファイルが開けなくなった、という状況を想定します。
感染端末の隔離、社内共有フォルダの停止、業務継続判断、バックアップ確認、取引先への説明、復旧優先順位などを検討します。
2. クラウドアカウント乗っ取りシナリオ
メールアカウントやクラウドストレージのアカウントが乗っ取られ、不審なメール送信やファイル共有が行われた可能性がある状況を想定します。
パスワード変更、多要素認証、ログ確認、影響範囲の確認、顧客・取引先への連絡、再発防止策を検討します。
3. 情報漏えい・メール誤送信シナリオ
個人情報、顧客情報、見積書、契約書、設計情報などを誤送信した、または外部に公開してしまった状況を想定します。
初動報告、回収依頼、影響範囲の確認、本人・取引先への連絡、再発防止、社内教育を検討します。
4. サプライチェーン・委託先起因シナリオ
委託先、クラウドサービス、保守会社、取引先で発生した障害や情報漏えいが、自社業務に影響する状況を想定します。
委託先への確認事項、業務停止時の代替手段、取引先説明、契約・SLA・保守範囲の確認を検討します。
5. 業務停止・BCP連動シナリオ
基幹システム、会計システム、受発注システム、予約システム、メール、クラウドストレージなどが使えなくなった場合を想定します。
手作業での業務継続、復旧優先順位、顧客対応、社内連絡、代替手段、再開判断を検討します。
演習で確認する判断項目
- インシデント発見時の初動対応
- 経営者への報告タイミング
- 情報セキュリティ責任者・担当者の役割
- 感染端末、サーバー、クラウドサービスの扱い
- 証拠保全、ログ、メール、画面キャプチャの扱い
- ITベンダー、保守会社、クラウド事業者への連絡
- 警察、JPCERT/CC、IPA、専門業者、顧問弁護士、保険会社への相談
- 顧客、取引先、委託元、委託先への連絡
- 個人情報保護委員会等への報告要否の確認
- 業務停止時の代替手段
- バックアップからの復旧可否
- 対外説明、謝罪、再発防止策の整理
支援内容
1. 事前ヒアリング
事業内容、従業員数、拠点数、利用システム、クラウドサービス、取引先からの要求、過去のトラブル、現在の不安事項を確認します。
既にインシデント対応マニュアル、情報セキュリティ規程、緊急連絡網、BCP、バックアップ手順がある場合は、内容を確認します。
2. 貴社向けシナリオ設計
一般的な教材をそのまま使うのではなく、貴社の業務、利用システム、取引先、組織体制に合わせて、現実味のある演習シナリオを作成します。
製造業、建設業、運輸業、教育機関、医療・介護、士業、IT利用企業など、業種に応じて状況設定を調整します。
3. 机上演習の進行
演習当日は、講師がファシリテーターとして状況を提示し、参加者に判断・討議・発表を行っていただきます。
「正解を暗記する研修」ではなく、実際に迷う場面を体験しながら、自社の弱点を発見することを重視します。
4. 経営者向け判断ポイントの解説
システム停止、顧客対応、取引先説明、復旧優先順位、身代金要求、広報対応、法務・保険・警察相談など、経営者が判断すべきポイントを整理します。
5. 振り返りと課題整理
演習後、対応できた点、迷った点、不足していた資料、決まっていなかったルール、連絡先の不備、バックアップや復旧手順の課題を整理します。
6. 改善提案・次の対応案の作成
演習結果をもとに、インシデント対応手順、緊急連絡網、情報セキュリティ規程、バックアップ手順、従業員教育、SCS★3準備など、次に整備すべき項目を提案します。
標準プログラム例
半日コース:3時間
| 時間 | 内容 |
|---|---|
| 0:00〜0:20 | インシデント対応の基本、最近の脅威、演習の進め方 |
| 0:20〜0:50 | 自社の対応体制、連絡先、バックアップ、利用システムの確認 |
| 0:50〜1:40 | シナリオ演習1:ランサムウェア感染・業務停止 |
| 1:40〜2:20 | シナリオ演習2:取引先・顧客対応、復旧判断 |
| 2:20〜2:50 | グループ発表・講評 |
| 2:50〜3:00 | 今後の改善項目の整理 |
1日コース:6時間
| 時間 | 内容 |
|---|---|
| 午前 | インシデント対応の基本、体制確認、ランサムウェア感染シナリオ |
| 午後前半 | クラウドアカウント乗っ取り、情報漏えい、サプライチェーン影響シナリオ |
| 午後後半 | 対外説明、復旧判断、再発防止、改善計画作成 |
成果物
- 貴社向け演習シナリオ
- 演習用ワークシート
- 参加者向け資料
- 演習結果の振り返りメモ
- 対応できた点・不足していた点の整理
- 緊急連絡網・初動対応手順の改善案
- バックアップ・復旧体制の確認事項
- ITベンダー・委託先への確認事項リスト
- 経営者向け改善提案
料金
| プラン | 内容 | 料金目安 |
|---|---|---|
| 初回相談 | 現在の体制、演習の目的、対象者、想定シナリオを確認します。 | 30分無料 |
| ミニ演習 | オンライン2時間。ランサムウェア感染など1シナリオを使い、初動対応と連絡体制を確認します。 | 88,000円(税込) |
| 半日演習 | 3時間程度。経営者・管理職・担当者向けに、ランサムウェア感染と取引先対応を中心に演習します。 | 165,000円(税込)〜 |
| 標準演習 | 半日演習に加え、事前ヒアリング、貴社向けシナリオ作成、振り返りレポートを含みます。 | 220,000円(税込)〜 |
| 1日演習 | ランサムウェア、クラウドアカウント乗っ取り、情報漏えい、サプライチェーン影響など複数シナリオを扱います。 | 330,000円(税込)〜 |
| カスタム演習 | 業種別、拠点別、経営層向け、自治体・団体向け、複数部門参加型など、目的に応じて設計します。 | 440,000円(税込)〜 |
| インシデント対応手順作成支援 | 演習後に、緊急連絡網、初動対応手順、社内報告フロー、取引先連絡手順を整備します。 | 110,000円(税込)〜 |
※ 本ページの「インシデント対応机上演習」は、平時に行う訓練・演習サービスです。実際にインシデントが発生している場合は、別途「インシデント初動対応・解析・復旧支援」として対応します。
※ 実インシデント対応では、初動対応、状況整理、証跡保全、ログ確認、感染範囲の確認、原因調査、復旧方針の検討、データ復旧支援、再発防止策の整理を行います。対応範囲や料金は、被害状況・対象機器・緊急度により個別見積となります。
※ 法的判断、警察・行政機関への届出判断、損害賠償対応、報道対応の最終判断は、必要に応じて弁護士等の専門家と連携して行うことをおすすめします。
ご相談の流れ
- お問い合わせフォームからご連絡ください。
- 初回相談で、演習の目的、対象者、参加人数、想定シナリオを確認します。
- 事前ヒアリングで、利用システム、連絡体制、バックアップ、既存マニュアルを確認します。
- 貴社向けの演習シナリオと進行案を作成します。
- オンラインまたは訪問で机上演習を実施します。
- 演習後、対応できた点、不足していた点、改善項目を整理します。
- 必要に応じて、インシデント対応手順や緊急連絡網の整備を支援します。
ライトハウスコンサルタントの特徴
ライトハウスコンサルタント代表の橋爪兼続は、情報処理安全確保支援士、いわゆる登録セキスペです。
2024年には、九州経済産業局、九州総合通信局、大分県、大分県情報サービス産業協会、九州経済連合会、IPAが主催する「セキュリティインシデント対応演習in大分」において、経営者層向けインシデント対応机上演習の講師を担当しました。
中小企業の情報セキュリティ対策、インシデント対応、SECURITY ACTION、SCS★3準備、従業員教育、クラウドサービスの安全利用などを支援しています。
難しい技術用語だけで説明するのではなく、経営者、総務担当者、現場担当者が「実際に何をすればよいか」まで落とし込むことを重視しています。
よくある質問
Q. 机上演習とセキュリティ研修は何が違いますか。
セキュリティ研修は、知識を学ぶことが中心です。
机上演習は、実際にインシデントが起きた場面を想定し、参加者が判断・連絡・復旧方針を検討する実践型の訓練です。
Q. 技術担当者がいなくても参加できますか。
はい。経営者、管理職、総務担当者、現場責任者にも分かるように進行します。
技術的な細部よりも、初動対応、連絡体制、業務継続、取引先対応、経営判断を重視します。
Q. 参加者は誰がよいですか。
経営者、役員、総務責任者、情報システム担当者、個人情報管理担当者、現場責任者、広報・顧客対応担当者の参加をおすすめします。
小規模企業の場合は、社長と実務担当者だけでも実施できます。
Q. オンラインでも実施できますか。
はい。オンラインでも実施可能です。
ただし、複数部門が参加する演習や、経営者層を含む半日演習では、訪問または集合形式の方が効果的な場合があります。
Q. 実際にサイバー攻撃を行う演習ですか。
いいえ。本サービスは、攻撃を行う技術演習ではありません。
シナリオに基づいて、判断、連絡、復旧、対外説明を確認する机上演習です。
Webサイトやシステムへの脆弱性診断、ペネトレーションテストは別サービスとなります。
Q. 演習だけでなく、マニュアル作成も依頼できますか。
はい。演習後に、インシデント対応手順、緊急連絡網、社内報告フロー、取引先連絡手順、バックアップ確認手順などの整備を支援できます。
Q. 既存のインシデント対応マニュアルがありません。それでも可能ですか。
可能です。マニュアルがない場合は、演習を通じて「何を決める必要があるか」を洗い出します。
その後、必要に応じて初動対応手順や緊急連絡網の作成支援につなげることができます。
Q. 実際にインシデントが発生している場合も対応できますか。
本サービスは、平時の訓練・準備を目的としたサービスです。
実際にインシデントが発生している場合は、まず既存のITベンダー、保守会社、警察、JPCERT/CC、専門業者等への相談を検討してください。
当事務所では、状況整理や初動相談について可能な範囲で助言しますが、フォレンジック調査、マルウェア解析、システム復旧作業を標準サービスとして提供するものではありません。
Q. SECURITY ACTIONやSCS★3対策にもなりますか。
はい。インシデント対応体制、連絡手順、従業員教育、バックアップ、委託先管理は、SECURITY ACTION二つ星やSCS★3を見据えた実務整備にもつながります。
現状診断、SCS★3準備支援、月額セキュリティ顧問と組み合わせることも可能です。
まずは一度、演習で確認してみませんか
インシデント対応は、マニュアルを作っただけでは機能しません。
実際に「誰が判断するか」「誰に連絡するか」「どの業務を止めるか」「いつ取引先に説明するか」を確認して初めて、使える体制になります。
ランサムウェア感染、不正アクセス、情報漏えい、クラウドアカウント乗っ取り、サプライチェーン影響に備えたい企業様は、ライトハウスコンサルタントへご相談ください。
