2σ Guide

インシデント対応チームCSIRTの立ち上げ
法務・経営・技術をつなぐ実務

CSIRTは、技術チームではなく有事の意思決定システムです。権限、責任、報告線、判断基準、証拠保全、外部連携、法的義務を、企業法務と経営の観点から整理します。

12段階 立ち上げ手順
3〜5日 漏えい速報の目安
72時間 GDPR通知の検討
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

インシデント対応チームCSIRTの立ち上げ 法務・経営・技術をつなぐ実務

CSIRTは、技術チームではなく有事の意思決定システムです。

動画を読み込み中…
2σ GUIDE ・ VIDEO
インシデント対応チームCSIRTの立ち上げ 法務・経営・
技術をつなぐ実務
CSIRTは、技術チームではなく有事の意思決定システムです。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • インシデント対応チームCSIRTの立ち上げ 法務・経営・技術をつなぐ実務
  • CSIRTは、技術チームではなく有事の意思決定システムです。

POINT 1

  • インシデント対応チームCSIRTの立ち上げの全体像
  • 技術対応だけでなく、企業統治、個人情報、証拠保全、広報、契約、経営判断を統合します。
  • CSIRTは有事の意思決定システムです
  • 判断基準
  • 外部連携

POINT 2

  • インシデント対応チームCSIRTの立ち上げが企業法務の問題になる理由
  • 会社法、個人情報、証拠保全、広報・開示が同時に発生するため、法務が初動から関与します。
  • 会社法・内部統制
  • 漏えい等報告と本人通知
  • 証拠保全と紛争対応

POINT 3

  • インシデント対応チームCSIRTの立ち上げで参照する標準・公的資料
  • 1. 平時からリスクを把握します:資産、データ、業務重要度、委託先、海外拠点を整理します。
  • 2. 検知・分析・対応・復旧をつなげます:SOC、CSIRT、事業部、法務、広報、経営が同じタイムラインで動きます。
  • 3. 対象範囲とサービスを選びます:最初から全機能を持たず、受付、トリアージ、技術調査、法務評価、経営報告などから始めます。
  • 4. 教訓を改善に反映します:演習や発生事案から、手順、契約、ログ、連絡先、文案を更新します。

POINT 4

  • インシデント対応チームCSIRTの基本思想と組織モデル
  • 権限ある調整機能として、法務・技術・事業の三角形で設計します。
  • 検知・分析・封じ込め・復旧
  • 法令・契約・証拠・紛争
  • 業務継続・顧客対応・経営判断

POINT 5

  • インシデント対応チームCSIRTの立ち上げ12段階
  • 1. 経営意思決定とスポンサー:目的、対象範囲、経営スポンサー、責任者、重大時報告先、初動権限、予算、外部専門家起用方針、活動報告義務を承認します。
  • 2. CSIRT憲章:ミッション、対象範囲、対象者、事象、権限、報告線、エスカレーション、記録、守秘、改訂を定めます。
  • 3. 法令・契約・規制マトリクス:個人情報、マイナンバー、クレジットカード、営業秘密、上場会社、業法、労務、契約、海外法、刑事、保険を一覧化します。
  • 4. 情報資産・データフロー
  • 5. CSIRTサービス選定
  • 6. RACI
  • 7. 重大度分類
  • 8. 初動プレイブック
  • 9. 証拠保全ルール
  • 10. 対外コミュニケーション:事実、評価、推測を分け、未確定事項を断定せず、被害者保護、再発防止、次回更新予定、問い合わせ窓口を整えます。
  • 11. 外部専門家との事前契約
  • 12. 演習と改善

POINT 6

  • CSIRT立ち上げで決める重大度・初動・証拠保全
  • 1. 発覚日時と経緯を記録します:報告期限、調査範囲、後日の説明の起点になります。
  • 2. 重大度を仮判定します:個人情報、営業秘密、業務停止、攻撃継続、取引先影響、海外法を確認します。
  • 3. 経営と法務を即時招集します:停止、公表、当局報告、外部専門家起用を判断します。
  • 4. 一次評価と記録を継続します:証拠保全と再発防止の必要性は残ります。
  • 5. 封じ込めと証拠保全を調整します:復旧を急ぎすぎて証拠を壊さないよう、技術、法務、外部専門家で優先順位を決めます。

POINT 7

  • 企業法務から見たCSIRT立ち上げの必須論点
  • 経営報告、個人情報、委託先、労務、営業秘密、刑事、保険を同時に管理します。
  • どの論点も初動で判断が遅れると説明責任や証拠に影響するため、担当と確認資料を平時に決めておくことが重要です。
  • 貸与端末、私的情報、就業規則、モニタリング規程、誓約書、懲戒、労働組合、メンタルヘルス、内部通報、面談手順を確認します。
  • 秘密管理性、有用性、非公知性、アクセス権限、秘密表示、NDA、教育、ログ、持出し制限、退職者管理を保全します。

POINT 8

  • 典型インシデント別プレイブックの要点
  • ランサムウェア、漏えい、BEC、クラウド設定ミス、内部不正、脆弱性報告を分けて準備します。
  • 初動の数時間が重要です
  • 発覚日時を起点に管理します
  • 送金停止・組戻しを急ぎます

まとめ

  • インシデント対応チームCSIRTの立ち上げ 法務・経営・
  • インシデント対応チームCSIRTの立ち上げの全体像:技術対応だけでなく、企業統治、個人情報、証拠保全、広報、契約、経営判断を統合します。
  • インシデント対応チームCSIRTの立ち上げが企業法務の問題になる理由:会社法、個人情報、証拠保全、広報・開示が同時に発生するため、法務が初動から関与します。
  • インシデント対応チームCSIRTの立ち上げで参照する標準・公的資料:NIST、ISO、FIRST、JPCERT/CC、経済産業省・IPAの考え方を設計原則へ落とし込みます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

インシデント対応チームCSIRTの立ち上げの全体像

技術対応だけでなく、企業統治、個人情報、証拠保全、広報、契約、経営判断を統合します。

インシデント対応チームCSIRTの立ち上げでは、最初にツールや人員数ではなく、権限、責任、報告線、判断基準、証跡、外部連携、法的義務の管理方法を決めます。この順番は、発生時に誰が判断し、どこまで止め、どの時点で報告し、どの資料を証拠として残すかを迷わないために重要です。

次の重要ポイントは、CSIRTを情報システム部門だけの対応ではなく、経営法務上の制度設計として見る理由を表します。3つの軸を読むことで、封じ込め、法令報告、顧客説明を同時に動かす必要性が分かります。

CSIRTは有事の意思決定システムです

攻撃の封じ込め、ログ解析、復旧だけでなく、個人情報保護委員会への報告、本人通知、取引先説明、経営報告、警察やJPCERT/CC等への相談、証拠保全、外部専門家との連携を時系列で統制します。

次の一覧は、CSIRT立ち上げで最初に設計する7つの要素を表します。各要素を確認することで、有事に現場判断だけへ依存せず、会社として説明可能な対応にするための土台を読み取れます。

01

権限

調査、隔離、ログ取得、外部専門家起用、報告要求の範囲を定めます。

02

責任

実行責任者、最終責任者、相談先、報告先を明確にします。

03

報告線

CSIRT責任者、CISO、法務責任者、経営会議、取締役会への流れを決めます。

04

判断基準

重大度分類、初動期限、報告・通知義務、停止判断を共通基準で扱います。

05

証跡

タイムライン、ログ、端末、クラウド監査ログ、判断記録を後日説明できる形で残します。

06

外部連携

外部弁護士、フォレンジック、保険会社、警察、JPCERT/CC、委託先の連絡先を整備します。

07

法的義務

個人情報、契約、業法、海外法、開示、労務、営業秘密、刑事対応を管理表に入れます。

注意このページは一般的な情報提供です。実際のインシデント、当局報告、開示、訴訟、刑事対応、海外法対応は、事実関係と適用法令で結論が変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
Section 01

インシデント対応チームCSIRTの立ち上げが企業法務の問題になる理由

会社法、個人情報、証拠保全、広報・開示が同時に発生するため、法務が初動から関与します。

次の比較一覧は、サイバーインシデントで同時に発生する企業法務上の論点を表します。項目ごとに見ることで、CSIRTが単なる復旧部隊ではなく、内部統制、報告義務、証拠、対外説明を管理する機能であることを読み取れます。

統治

会社法・内部統制

顧客情報、営業秘密、決済情報、生産設備、クラウド、委託先、海外拠点が対象になるため、事業継続と企業価値に直結します。

個人情報

漏えい等報告と本人通知

速報は発覚日から概ね3〜5日以内、確報は原則30日以内、不正目的のおそれがある場合は60日以内という管理が問題になります。

証拠

証拠保全と紛争対応

ログ、端末イメージ、クラウド監査ログ、メール、アクセス権限変更履歴、外部業者とのやり取り、意思決定資料が後日の証拠になります。

説明

広報・開示・信用毀損

早すぎる公表は不正確な情報拡散を招き、遅すぎる公表は隠蔽と受け止められる可能性があります。

次の用語表は、CSIRT周辺の主要機能を比較します。役割の違いを先に分けることで、監視、組織対応、製品脆弱性対応、証拠保全を混同せずに設計できます。

用語役割設計上のポイント
インシデント情報資産、システム、業務、個人情報、営業秘密、信用、法令遵守に悪影響を与える、またはそのおそれがある事象です。被害確定後だけでなく、攻撃の痕跡、漏えいのおそれ、通報、脆弱性報告も扱います。
インシデント対応準備、検知、初動、封じ込め、根絶、復旧、報告、再発防止、演習、改善を含むサイクルです。発生後の処理だけでなく、平時の準備と教訓反映まで含めます。
CSIRT組織内外のセキュリティインシデントに対応する機能です。物理的な部署に限らず、仮想チームでも成立します。対象範囲、ミッション、権限、サービスを定義します。
SOC監視、検知、ログ分析、アラート対応を中心に担います。見つける機能として、CSIRTへのエスカレーション基準を定めます。
PSIRT製品・サービスの脆弱性や製品セキュリティ事故に対応します。SaaS、IoT、アプリ、クラウド、医療機器、車載システムの提供企業では重要です。
デジタルフォレンジックPC、サーバー、スマートフォン、クラウド、メール、ログなどを証拠利用に耐える形で保全・解析します。初動で証拠を破壊しないルール、外部専門家、保全対象、手順を定めます。
Section 02

インシデント対応チームCSIRTの立ち上げで参照する標準・公的資料

NIST、ISO、FIRST、JPCERT/CC、経済産業省・IPAの考え方を設計原則へ落とし込みます。

次の一覧は、CSIRT設計で参照される標準・公的資料の位置づけを表します。資料ごとの焦点を読むことで、プロセス、サービス選定、組織設計、経営責任を分けて取り込めます。

資料示す考え方立ち上げへの反映
NIST SP 800-61 Rev.3インシデント対応をCSF 2.0に沿ってリスク管理全体へ組み込みます。ガバナンス、識別、防御、検知、対応、復旧を分断しない設計にします。
NIST Cybersecurity Framework 2.0サイバーリスク管理を経営活動へ接続します。経営報告と継続的改善をCSIRTの通常業務に入れます。
ISO/IEC 27035-1準備、検知、報告、評価、対応、教訓反映を構造化します。人を集めるだけではなく、記録、判断基準、改善サイクルを整えます。
FIRST CSIRT Services FrameworkCSIRTのサービスを階層的に整理し、全サービスを必須とはしません。自社のリスク、規模、業種、成熟度に応じた最小構成から始めます。
JPCERT/CC CSIRTマテリアル組織全体の視点から構想、構築、運用フェーズを示します。型だけでなく、自社の工場、金融、医療、SaaS、海外拠点などの事情に合わせます。
経済産業省・IPAの経営ガイドライン経営者が認識する原則とCISO等に指示する重要項目を整理します。CSIRT設置を情報システム部門の稟議ではなく、経営の意思決定として位置づけます。

次の重要ポイントは、標準資料から共通して導かれる実務原則を表します。上から順番に読むことで、平時のリスク把握から外部情報共有、演習後の改善までを一連の能力として設計できます。

標準資料から導くCSIRT設計原則

平時からリスクを把握します

資産、データ、業務重要度、委託先、海外拠点を整理します。

検知・分析・対応・復旧をつなげます

SOC、CSIRT、事業部、法務、広報、経営が同じタイムラインで動きます。

対象範囲とサービスを選びます

最初から全機能を持たず、受付、トリアージ、技術調査、法務評価、経営報告などから始めます。

教訓を改善に反映します

演習や発生事案から、手順、契約、ログ、連絡先、文案を更新します。

Section 03

インシデント対応チームCSIRTの基本思想と組織モデル

権限ある調整機能として、法務・技術・事業の三角形で設計します。

次の一覧は、CSIRTを設計するときの3つの軸を表します。技術だけ、法務だけ、事業だけに寄せると初動のどこかが遅れるため、各軸の役割を並べて読み取ります。

技術軸

検知・分析・封じ込め・復旧

ログ、EDR、クラウド、脆弱性、バックアップ、ネットワーク遮断、アカウント停止を扱います。

法務軸

法令・契約・証拠・紛争

当局報告、本人通知、契約通知、証拠保全、労務、保険、海外法、訴訟リスクを扱います。

事業軸

業務継続・顧客対応・経営判断

顧客、取引先、従業員、投資家、メディアへの説明と、財務影響、ブランド、復旧優先順位を扱います。

次の比較表は、CSIRTの組織モデルを表します。自社の規模、規制、海外拠点、事業部の分散度に応じて、利点と注意点を読み取ります。

モデル向いている組織注意点
仮想CSIRT専任部署を置かず、情報システム、法務、総務、人事、広報、事業部、内部監査などから有事に招集します。中小企業や立ち上げ初期に適します。メンバー名簿、代替者、連絡手段、招集条件、初動チェックリストがないと動けません。
中央集権型CSIRT本社または情報セキュリティ部門に専任チームを置きます。大企業、上場企業、金融、医療、通信、SaaS、重要インフラで採用しやすいです。事業部や海外拠点の現場事情を把握するため、リエゾンや地域担当を配置します。
分散・連邦型CSIRT事業部、地域、子会社、海外拠点にローカル対応機能を置き、本社CSIRTが基準と重大事案対応を担います。重大度基準、報告期限、証拠保全、対外公表、委託先連絡ルールを統一します。
外部委託・リテイナー併用型SOC監視、フォレンジック、法律相談、広報支援を外部専門家で補います。システム停止、顧客説明、当局報告、公表、事業継続は会社自身の意思決定として残ります。

外部委託を使う場合は、24時間365日の連絡可否、初動開始までのSLA、保全対象、ログやクラウド環境へのアクセス権、秘密保持、再委託、海外移転、報告書の帰属、法務との連携、保険会社への提出可否、追加費用の条件を契約で確認します。

Section 04

インシデント対応チームCSIRTの立ち上げ12段階

経営承認から憲章、法令マトリクス、RACI、重大度、演習まで順番に整えます。

次の時系列は、CSIRT立ち上げの12段階を表します。順番には意味があり、経営承認と権限設計を先に置くことで、後続の棚卸し、重大度分類、証拠保全、外部契約、演習を有事に使える形へつなげます。

Step 1

経営意思決定とスポンサー

目的、対象範囲、経営スポンサー、責任者、重大時報告先、初動権限、予算、外部専門家起用方針、活動報告義務を承認します。

Step 2

CSIRT憲章

ミッション、対象範囲、対象者、事象、権限、報告線、エスカレーション、記録、守秘、改訂を定めます。

Step 3

法令・契約・規制マトリクス

個人情報、マイナンバー、クレジットカード、営業秘密、上場会社、業法、労務、契約、海外法、刑事、保険を一覧化します。

Step 4

情報資産・データフロー

重要システム、管理者、クラウドアカウント、個人データ、顧客・取引先データ、営業秘密、バックアップ、ログ、委託先、海外拠点、代替業務手段を把握します。

Step 5

CSIRTサービス選定

受付、トリアージ、技術調査、封じ込め、法務評価、経営報告、広報・顧客対応、外部連携、復旧、再発防止を初期構成にします。

Step 6

RACI

実行責任者、最終責任者、相談先、報告先を、重大度判定、個人情報判断、システム停止、証拠保全、当局報告、公表、顧客通知ごとに決めます。

Step 7

重大度分類

S0からS4までの分類と初動期限を設計し、個人情報、営業秘密、業務停止、取引先影響、開示、海外法、犯罪性、証拠保全を評価軸に入れます。

Step 8

初動プレイブック

ランサムウェア、個人情報漏えい、不正アクセス、ビジネスメール詐欺、クラウド設定ミス、内部不正・情報持出しを用意します。

Step 9

証拠保全ルール

端末再起動、ネットワーク隔離、メモリ保全、クラウドログ、メール監査ログ、EDR、DNS、Proxy、WAF、SaaS監査ログ、原本と作業コピーを定めます。

Step 10

対外コミュニケーション

事実、評価、推測を分け、未確定事項を断定せず、被害者保護、再発防止、次回更新予定、問い合わせ窓口を整えます。

Step 11

外部専門家との事前契約

外部弁護士、フォレンジック、クラウド・SaaSベンダ、SOC、保険、翻訳、コールセンター、PR危機管理、海外専門家、警察やJPCERT/CCへの相談ルートを整えます。

Step 12

演習と改善

少なくとも年1回、重大シナリオの机上演習を行い、連絡不能、判断遅延、権限不明、ログ不足、契約通知義務、証拠保全、復旧判断を改善します。

Section 05

CSIRT立ち上げで決める重大度・初動・証拠保全

初動期限と保全対象を定めることで、被害拡大と説明不全を抑えます。

次の重大度分類表は、事象の影響と初動期限を表します。技術影響だけでなく、個人情報、営業秘密、業務停止、取引先、当局報告、開示、海外法、犯罪性を読み込むことで、過小評価を避けます。

区分概要初動期限
S0会社存続、重大法令、社会的影響レベル基幹業務停止、大量個人データ流出、公表必至即時招集、経営報告
S1重大インシデント重要サーバー侵害、個人データ漏えいのおそれ、取引先影響1時間以内にCSIRT招集
S2中程度限定的マルウェア、単一端末侵害、局所的情報流出当日中に一次評価
S3軽微フィッシングメール受信、隔離済み端末、低影響アラート2営業日以内に処理
S4監視・参考不審ログ、外部情報、脆弱性情報通常運用

次の判断の流れは、発覚後にCSIRTが何を優先するかを表します。上から順に見ることで、封じ込め、証拠保全、法務評価、対外説明を同時並行で動かす必要性を読み取れます。

発覚後の初動判断の流れ

発覚日時と経緯を記録します

報告期限、調査範囲、後日の説明の起点になります。

重大度を仮判定します

個人情報、営業秘密、業務停止、攻撃継続、取引先影響、海外法を確認します。

重大
経営と法務を即時招集します

停止、公表、当局報告、外部専門家起用を判断します。

限定的
一次評価と記録を継続します

証拠保全と再発防止の必要性は残ります。

封じ込めと証拠保全を調整します

復旧を急ぎすぎて証拠を壊さないよう、技術、法務、外部専門家で優先順位を決めます。

証拠保全では、端末を不用意にシャットダウンしない場合があること、ネットワーク隔離方法、メモリ保全、ディスクイメージ、クラウドログ、メール監査ログ、VPN、ID基盤、EDR、DNS、Proxy、WAF、ファイアウォール、SaaS監査ログ、作業者、日時、対象、ハッシュ値、保管場所、原本と作業コピーの区別、外部専門家への引渡し、法務との連携、証拠保全と復旧の優先順位を定めます。

対外説明では、事実、評価、推測を分け、未確定事項を断定せず、被害者保護、具体的な再発防止、原因究明中であること、次回更新予定、問い合わせ窓口、二次被害防止、法令上必要な通知と任意説明の区別を意識します。公表文、顧客通知、社内通知、取引先通知、監督官庁報告、警察相談、JPCERT/CC連絡は、同じ事実認定に基づいて作成します。

Section 07

典型インシデント別プレイブックの要点

ランサムウェア、漏えい、BEC、クラウド設定ミス、内部不正、脆弱性報告を分けて準備します。

次の一覧は、典型的なインシデントごとの初動要点を表します。事象ごとに優先順位が異なるため、左の事象名と右の確認項目を対応させて読み取ります。

ランサムウェア

初動の数時間が重要です

暗号化範囲、侵入経路、データ窃取、バックアップ、要求内容、業務停止、個人情報・営業秘密、公表・通知、復旧優先順位、再侵入防止を確認します。

個人情報漏えい

発覚日時を起点に管理します

速報、確報、本人通知、FAQ、コールセンター、再発防止策を並行して進めます。漏えいの証拠がなくても、おそれで報告義務が問題になる場合があります。

ビジネスメール詐欺

送金停止・組戻しを急ぎます

銀行、送金先金融機関、警察、取引先へ迅速に連絡し、認証情報変更、多要素認証、転送ルール、OAuth連携、過去メール、保険を確認します。

クラウド設定ミス

非公開化前後の証跡を残します

公開範囲を修正しつつ、修正前の状態、公開期間、アクセスログ、ダウンロード有無、対象データ、検索エンジンキャッシュ、第三者指摘を保全します。

内部不正・情報持出し

面談前に証拠を保全します

アクセスログ、端末、メール、USB接続履歴、クラウドアップロード、印刷履歴、入退館、退職時書類、誓約書、就業規則を確認します。

脆弱性報告

CSIRTとPSIRTを接続します

製品、SaaS、アプリ、API、IoTでは、受付窓口、報告者連絡、修正計画、顧客通知、CVE、JVN等との連携を整理します。

Section 08

CSIRTが作成すべき文書体系・ログ・KPI

文書、ログ、指標をそろえることで、対応を測定し改善できます。

次の文書体系は、CSIRT立ち上げ時に整える成果物を表します。目的欄を読むことで、どの文書が初動、報告、証拠、再発防止のどこを支えるかを確認できます。

文書目的
CSIRT憲章目的、権限、対象範囲、報告線を定めます。
インシデント対応規程組織全体の対応ルールを定めます。
重大度分類基準エスカレーションと対応速度を決めます。
初動チェックリスト発覚後の確認漏れを防ぎます。
証拠保全手順ログ、端末、クラウド証跡を保全します。
連絡先一覧社内外の緊急連絡先を管理します。
法令・契約マトリクス報告・通知義務を判断します。
当局報告・本人通知・顧客通知テンプレート個人情報、契約、信頼関係上の説明を迅速化します。
広報holding statement初期公表とメディア対応を準備します。
取締役会報告・事後報告書テンプレート経営判断と原因、対応、再発防止の記録を支援します。
演習計画書・改善管理台帳年次訓練と是正追跡を制度化します。

次のログ一覧は、CSIRTが事実認定に使う主な技術基盤を表します。ログがなければ侵入経路や漏えい範囲を説明できないため、領域ごとに必要な記録を読み取ります。

領域主なログ
ID基盤ログイン、MFA、権限変更、失敗ログイン、条件付きアクセス
端末EDR検知、プロセス、ファイル操作、USB接続、隔離状況
メール送受信、転送ルール、認証、添付ファイル、URLクリック
ネットワークFirewall、Proxy、DNS、VPN、IDS/IPS、NetFlow
クラウド・SaaS管理者操作、ストレージ公開設定、APIアクセス、監査ログ、共有設定、外部招待、ダウンロード、権限変更
Web・データベースWAF、Webアクセス、管理画面アクセス、改ざん履歴、管理者アクセス、クエリ、エクスポート
バックアップ・物理成功・失敗、世代、改ざん、復元テスト、入退館、監視カメラ、媒体持出し

次の指標一覧は、CSIRT活動を測定するKPIとKRIを表します。件数を減らすだけでは通報抑制につながるため、検知、確認、封じ込め、復旧、法務評価、証拠保全、改善の速度と達成度を読み取ります。

指標意味
MTTD、MTTA、MTTC、MTTR検知、アラート確認、封じ込め、復旧までの平均時間です。
重大度判定時間、経営報告時間、法務評価時間初期分類、経営報告、報告・通知義務判断の迅速性を示します。
証拠保全完了率、プレイブック適用率、演習実施率、改善完了率手順に基づく対応と改善の達成度を示します。
ログ取得率、委託先連絡先整備率、データマップ更新率重要システム、重要委託先、漏えい対応基盤の鮮度を示します。
KRI未修正高リスク脆弱性、MFA未適用、特権ID棚卸し未実施、バックアップ復元テスト未実施、ログ保存不足、退職者アカウント残存、委託先評価未実施などです。
Section 09

中小企業の90日計画とCSIRT立ち上げ時の失敗回避

専任チームがなくても、連絡先、判断基準、証拠保全、演習から始められます。

次の時系列は、中小企業が最初の90日で整える内容を表します。専任人材が少ない場合でも、誰に連絡し、何を止め、何を記録し、誰が判断するかを段階的に決める流れを読み取れます。

仮想CSIRTの最小構成は、経営責任者、情報システム担当、法務または総務担当、個人情報保護担当、事業責任者、広報・顧客対応担当、外部ITベンダ、外部弁護士、外部フォレンジック候補を含めて整理します。この一覧は、社内だけで完結しない場面を先に想定するために重要で、誰が社外専門家や顧客窓口を担うかを読み取ります。

0〜30日

最低限の初動基盤を作ります

CSIRT責任者、緊急連絡先、重大度分類、個人情報の所在、重要システム、バックアップ、外部ITベンダ連絡先、漏えい時の報告期限、ランサムウェアと個人情報漏えいの初動チェックリストを整えます。

31〜60日

簡易憲章と証拠保全を整えます

CSIRT憲章の簡易版、証拠保全ルール、ログ保存状況、委託先通知義務、顧客通知テンプレート、外部弁護士・フォレンジック候補、机上演習を整えます。

61〜90日

改善計画へつなげます

演習結果で手順を修正し、経営会議へ報告し、サイバー保険、重要委託先の有事連絡先、バックアップ復元テスト、年間改善計画を整えます。

次の失敗一覧は、CSIRTが機能しない典型例と回避策を表します。各行の原因と対策を対で読むことで、形式的な設置に終わらせないための改善点を確認できます。

失敗回避策
名前だけCSIRT憲章、初動チェックリスト、年1回以上の演習を整えます。
技術部門に丸投げする重大度S1以上では法務・プライバシー担当を自動招集します。
法務が技術事実を待ちすぎる判明事実、合理的疑い、未確定事項を分け、速報と続報で進めます。
ログがない重要システムのログ保存期間と取得項目を平時に監査します。
委託先から情報が出ない契約更新時に通知期限、調査協力、ログ提供、監査権を見直します。
公表文が技術的すぎる法務、広報、CSIRT、事業部が共同でテンプレートを作ります。
復旧を急ぎすぎて再侵入される復旧前チェックリストで侵入経路、認証情報、脆弱性、バックアップ健全性を確認します。
演習が形式的です時間制限、未確定情報、経営判断、メディア問い合わせ、取引先要求を含むシナリオにします。

次の確認表は、初回立ち上げ時に見る項目を表します。完了欄は実務上の管理用であり、項目の並びから、経営承認、責任者、憲章、重大度、連絡先、漏えい判断、証拠保全、プレイブック、資産、外部専門家、保険、ログ、復元、文案、演習までの範囲を読み取ります。

チェック項目完了
経営会議または取締役会でCSIRT設置を承認しました確認
CSIRT責任者と代替者を決めました確認
CSIRT憲章、対象範囲、重大度分類、初動連絡先一覧を作成しました確認
個人情報漏えい時の判断手順と証拠保全手順を作成しました確認
ランサムウェア、不正アクセス、個人情報漏えいの初動手順を作成しました確認
重要システム、個人データの所在、重要委託先の有事連絡先を整備しました確認
外部弁護士、フォレンジック会社候補、サイバー保険の通知条件を確認しました確認
ログ保存状況、バックアップ復元テスト、公表文・顧客通知・取締役会報告テンプレートを確認しました確認
年次演習計画と改善管理台帳を作成しました確認
Reference

参考資料

標準・フレームワーク

  • NIST SP 800-61 Rev.3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management
  • NIST Cybersecurity Framework 2.0 Resource Center
  • ISO/IEC 27035-1 Information security incident management
  • FIRST Computer Security Incident Response Team Services Framework
  • ISO/IEC 29147 Vulnerability disclosure
  • ISO/IEC 30111 Vulnerability handling processes

国内公的資料

  • JPCERT/CC CSIRTマテリアル
  • JPCERT/CC インシデント対応に関する解説
  • 日本シーサート協議会 CSIRT構築ガイド
  • 経済産業省・IPA サイバーセキュリティ経営ガイドラインと支援ツール
  • 内閣官房国家サイバー統括室 サイバーセキュリティ関係法令Q&Aハンドブック
  • 個人情報保護委員会 漏えい等の対応とお役立ち資料

法令・海外資料

  • Regulation (EU) 2016/679, Article 33 and Article 34