中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP3「本格的に取り組む」では、前回までに扱った基本方針、体制、規程、資産管理、防御、検知、点検と改善に続いて、(8)インシデント対応体制等の整備、(9)取引先/外部情報サービスの管理、(10)情報収集と共有が並びます。つまりSTEP3後半は、事故が起きたときの備えと、社外を含めた管理と、脅威情報を取り込み続ける仕組みを整える段階です。
IPAの紹介ページでは、付録8として「中小企業のためのセキュリティインシデント対応の手引き」が公開されており、本体の付録版は全8ページ、関連資料として説明資料版は全15ページです。第7回では、この付録8も踏まえながら、事故対応・委託先管理・情報共有をどう実務に落とすかを整理します。
この記事でわかること
- インシデント対応体制で何を決めておくべきか
- 取引先やクラウドなど外部サービスをどう管理するか
- 情報収集と社内外共有をどう仕組みにするか
- 付録8をどう使えばよいか
STEP3後半は「事故を前提にした運用」を整える段階
IPAは、セキュリティ事故時の対応手順や復旧手順の整備が、サイバー攻撃による業務中断、個人情報の不正利用、社会的信用の失墜といった深刻な影響を回避するために不可欠だと説明しています。また、取引先とのルール設定やセキュリティ対策状況の把握、自社の機密性の高い情報を扱うクラウドサービスなど外部サービスの利用状況や安全性の把握も、リスク低減のうえで極めて重要だとしています。さらに、脅威や攻撃の手口を知って組織内外に共有することは、組織の対策レベルだけでなく社会全体のセキュリティレベル向上にもつながると整理しています。
ここから見えてくるのは、STEP3後半が「事故が起きないようにする」だけでなく、「起きたときに止まらない」「取引先やクラウドで穴を作らない」「新しい脅威を知らずに放置しない」ための段階だということです。これはIPA本文を踏まえた、本稿での実務上の整理です。
まず整えるべきは、インシデント対応体制
インシデントの対象範囲とレベル、判定基準を決める
STEP3の(8)でIPAは、セキュリティインシデントとして扱う対象範囲を明確にし、対象範囲とレベル、判定基準、エスカレーションルールを定義して従業員に周知するよう求めています。判断や初動対応が遅れると被害が拡大しやすいためです。
説明資料では事故レベルの例も示されており、レベル3は「顧客、取引先、株主等に影響が及ぶとき」「個人情報が漏えいしたとき」で責任者は代表取締役、レベル2は事業への影響、レベル1は従業員の業務遂行への影響で責任者はインシデント対応責任者、レベル0は将来インシデントに発展する可能性がある事象で責任者はシステム管理者という整理です。これは説明資料上の例示であり、自社の実情に合わせて作るべきものです。
対応手順、役割分担、報告事項、連絡体制を決める
IPAは、初動対応を早く確実に行い、情報セキュリティ責任者や関係者へ必要な情報を報告するために、インシデント対応手順、役割分担、報告事項、連絡体制を定めるよう求めています。また、事故の事例と対応策を社内で定期的に共有することも挙げています。
付録8の説明資料では、インシデントが疑われる兆候や実際の発生を発見した場合は情報セキュリティ責任者へ報告し、外部から通報を受けた場合は通報者の連絡先等を控えること、情報セキュリティ責任者が対応すべきインシデントだと判断したら速やかに経営者へ報告すること、経営者は事業や顧客への影響を踏まえて速やかに対応体制を立ち上げることが示されています。
事業上重要なシステムは、復旧目標から逆算して備える
IPAは、事業上重要なシステムについて、事業継続の要件に沿う復旧に必要な準備を行うよう求めています。具体的には、目標復旧時間(RTO)と目標復旧時点(RPO)に合わせてバックアップ取得や手順整備を行い、訓練で実効性を検証するという考え方です。
ここは「バックアップがあるかどうか」だけで終わりません。どこまでの時間で戻すのか、どの時点までデータを戻せればよいのかを先に決め、その前提でバックアップ頻度や復旧手順を作るのがSTEP3の読み方です。これはIPA本文を踏まえた、本稿の整理です。
付録8は「3ステップの初動フロー」として使う
IPAの付録8説明資料では、インシデント対応を、ステップ1「検知・初動対応」、ステップ2「報告・公表」、ステップ3「復旧・再発防止」の3段階で整理しています。単なる参考読み物ではなく、事故時の行動順序を簡潔に押さえるための資料として使いやすい構成です。
ステップ1 検知・初動対応
付録8では、初動対応として、対象となる情報が外部からアクセスできる状態にある場合や、被害が広がる可能性がある場合は、ネットワークの遮断、情報や対象機器の隔離、システムやサービスの停止を行うとしています。一方で、対象機器の電源を切るなど、不用意な操作でシステム上に残された記録を消さないよう注意することも示しています。
ステップ2 報告・公表
付録8では、すべての関係者への通知が困難な場合や、影響が広く一般に及ぶ場合は、状況をウェブサイトやメディアを通じて公表し、公表時期・内容・対象を慎重に考慮するとしています。また、顧客や消費者に関係する場合は問い合わせ窓口を開設し、被害の発生・拡大を把握して対応するとしています。被害者や影響を及ぼした取引先・顧客に対しては、対応状況や再発防止策等を報告し、必要に応じて損害補償等を行うことも示されています。
同じ資料では、主な届出先の例として、個人情報漏えいの場合は個人情報保護委員会、業法等で求められる場合は所管省庁等、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAが挙げられています。個別案件で必要な届出先や要否は事案により異なるため、実際には法令や所管窓口の確認が必要です。前半はIPA資料、後半は本稿の注意喚起です。
ステップ3 復旧・再発防止
付録8では、調査・対応の場面で5W1Hの観点から状況を整理し、原因調査、修正プログラムの適用、設定変更、機器の入替え、データ復元など必要な修復を行うとしています。自社だけで難しい場合は、IT製品のメーカー、保守ベンダー等の外部専門組織や公的機関の相談窓口等に支援・助言を求めること、対応中は経営者に適時報告することも示されています。さらに、訴訟対応等を見越した証拠保全や、必要に応じたフォレンジック調査にも触れています。
復旧後は対応結果を経営者に報告し、再発防止のために根本原因を分析して、新たな技術的対策、ルール整備、教育、体制整備、運用改善などの抜本策を実施すると整理されています。事故対応は「元に戻したら終わり」ではなく、「なぜ起きたかを潰すところまで」がワンセットです。
取引先/外部情報サービスの管理は、クラウドや保守も含めて考える
STEP3の(9)でIPAは、取引先とのルール設定やセキュリティ対策状況の把握、自社の機密性の高い情報を取り扱うクラウドサービスなどの外部サービスの利用状況や安全性の把握が極めて重要だとしています。説明資料では、取引先と自社の関係図の例として、仕入先、販売先、工場/委託先、クラウド、リモート保守(VPN経由)などが示されています。つまり、外部管理は委託契約書だけの話ではなく、実際につながっているシステムとデータの流れを把握することから始まります。
取引先との関係と接続を把握する
IPAは、自社以外の組織が管理・提供し、自組織の資産が接続している主要な情報システムを把握する仕組みを整備し、取引先との契約内容やセキュリティ要件が現在の状況に合っているか、問題が起きたときに誰に何を確認すべきかを明確にするよう求めています。
機密性の高い情報の取扱い方法を明確にする
IPAは、機密性の高い情報として扱うべき対象の抜け漏れを防ぎ、リスクに応じた対策を策定し、取引先とのやり取りにおけるインシデントの未然防止や被害拡大防止につなげるために、該当する情報資産を定め、管理ルールを整備するよう示しています。
取引先のセキュリティ対策状況を定期的に評価する
IPAは、事業継続リスクと情報管理リスクの観点から、取引先の対策状況を定期的に評価し、是正と再確認を計画的に実施して結果を記録するよう求めています。ここは「契約時に一度確認して終わり」ではなく、継続的な確認が必要な領域です。
事故時の役割・責任・連絡先を相手先と合意しておく
IPAは、インシデント対応を他社と自社で共同して機能させ、初動の遅延を防ぐために、通知義務・連絡先を文書化し、役割分担と連絡体制を相手先と合意のうえ、訓練で実効性を確認するよう示しています。事故時連絡先が契約書に書かれていない、あるいは古いままという状態は避けたいところです。
契約終了時の回収・削除まで管理する
IPAは、取引先との契約終了時に、機密性の高い情報やアクセス権等を回収または破棄するよう求めています。責任者と期限を設定し、チェックシートで運用して記録を保管するという考え方です。
クラウドなど外部サービスは「使っているか」ではなく「要件を定めているか」で見る
IPAは、自社の機密性の高い情報を扱う外部情報サービスについて、利用時のセキュリティ要件を定め、利用状況を把握し、提供事業者と機密性の高い情報の取扱い方法について取り交わすよう示しています。クラウドや外部サービスは便利ですが、便利だから使うのではなく、「何を預け、何を要求し、事故時にどうするか」を決めて使うのがSTEP3の考え方です。
情報収集と共有は「たまに調べる」ではなく「仕組みにする」
STEP3の(10)でIPAは、情報収集で重要なのは、定常的に情報収集ができる方法を整備することだと説明しています。情報を得る先を理解し、必要な情報が自動的に得られる仕組みを構築することが重要で、例として情報セキュリティ専門機関、IT製品メーカーや保守ベンダーのメールマガジンやSNSへの登録、セミナー参加が挙げられています。
またIPAは、収集した情報を組織内の関係者全員に適切に共有することで、対策の精度を向上できるとしています。具体例として、定期的な会議、メール配信、社内ポータルサイトの活用、情報セキュリティに関する最新情報のデータベース構築が示されています。つまり、担当者だけが知っている状態では足りず、必要な相手に届く仕組みまで整える必要があります。
さらにIPAは、近年は取引先や同業者を経由したサイバー攻撃が増加しているとして、収集した情報を社内だけでなく取引先や同業者にも共有することで対策向上が期待できるとしています。共有情報に機密性の高い情報が含まれる可能性がある場合は秘密保持契約を交わし、情報共有の枠組みとしては日本シーサート協議会や業界別ISACがあると説明資料でも示しています。
本文の参考情報欄では、情報収集先の例として、IPA「ここからセキュリティ!」、IPAセキュリティセンター、IPAの注意喚起サービス、JPCERT/CC、警察庁サイバー警察局、NCO(国家サイバー統括室)などが挙げられています。ゼロから情報源を探すより、まず公的機関や一次情報に近い発信元を定点観測先にするほうが実務的です。
付録8は「初動24時間のたたき台」として使うと動きやすい
ここからは本稿の実務向け整理です。付録8は、事故が起きてから読むだけではなく、平時に「誰に報告するか」「どこで止めるか」「誰が公表を決めるか」「どの時点で外部専門家を呼ぶか」を決めるためのたたき台として使うと効果的です。IPA本文がSTEP3でインシデントの対象範囲、対応手順、役割分担、復旧手順、訓練まで求め、付録8説明資料が検知・初動対応、報告・公表、復旧・再発防止の流れを示しているためです。
特に中小企業では、「誰が第一報を受けるか」「ネットワーク遮断や隔離の判断は誰がするか」「外部への説明は社長が行うのか担当者が窓口を持つのか」「証拠保全の前に機器の電源を切らないことを誰が理解しているか」が曖昧なままになりやすいので、付録8を使って先に整理しておく意義は大きいと考えます。これは本稿の整理です。
社長が今日決めるべき3つ
ここからは本稿の実務向け整理です。第7回の段階で社長が決めたいのは、次の3つです。
- どこからをインシデントとみなし、誰にエスカレーションするか
IPAは、インシデントの対象範囲、レベル、判定基準、エスカレーションルールの定義を求めています。まずはレベル分けの例を参考に、自社版の基準を作るのが出発点です。 - どの取引先・委託先・クラウド・保守接続が重要対象か
IPAは、取引先とのビジネスまたはシステム上の関係把握、契約内容やセキュリティ要件の確認、外部情報サービスの利用状況把握を求めています。まずは「どこと、何が、どうつながっているか」を見える化することが先です。 - どの情報源を、誰が、どの頻度で確認し、どう社内共有するか
IPAは、定常的な情報収集の仕組みと、会議・メール・ポータル等を使った共有を求めています。担当者の勘に頼らず、定点観測先と共有方法を決めることが重要です。
まとめ
中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP3後半は、事故が起きたときの対応体制、取引先や外部サービスを含めた管理、脅威情報の継続的な収集と共有を整える段階です。IPA本文を見ると、ここで重視されているのは、事故が起きてから慌てて考えるのではなく、平時に対象範囲、責任、連絡、復旧、契約、共有の仕組みを決めておくことだと分かります。
付録8は、その仕組みを実際の初動フローに落とすための補助資料として有効です。検知・初動対応、報告・公表、復旧・再発防止の流れを自社版に置き換えておくと、事故時の迷いを減らしやすくなります。
次回は、第8回としてSTEP4「より強固にするための方策」に進みます。資産ベースのリスク分析、技術的対策、セキュリティサービス、ウェブサイト、クラウド、テレワーク、セキュリティインシデント対応まで含めて整理します。
※本記事はIPAガイドラインの解説であり、個別案件に対する法的助言ではありません。法令上の届出や公表判断が必要な場合は、弁護士や所管窓口等への確認が必要です。
