サイバー攻撃を受けたとき、多くの中小企業がパニックになって「とにかく再起動」「ウイルス対策ソフトをすぐ走らせよう」という間違った初動をとってしまいます。その結果、証拠が消えて原因がわからなくなり、被害が他のPCに広がり、取引先への報告が遅れて信頼を失う——そんな事例を何度も見てきました。
この記事では、セキュリティインシデントが発生したときに中小企業が取るべき対応手順を、初動から復旧・再発防止まで一通り解説します。「IT担当者がいない」「従業員30人の会社でも使えるか?」という方を主な対象に、現実的な手順をまとめました。
セキュリティインシデントとは?
セキュリティインシデントとは、会社の情報システムやデータに何らかの問題が起きた状態を指します。代表的なものは次の通りです。
・ランサムウェア感染: ファイルが暗号化されて業務が完全に止まる
・情報漏えい: 顧客データや社内情報が外部に流出する
・不正ログイン: 社内システムやクラウドサービスへの不正アクセス
・フィッシング詐欺被害: 偽メールにだまされてIDやパスワードを入力してしまう
・内部不正: 退職者や従業員によるデータ持ち出し
大企業だけの問題と思われがちですが、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2024」では中小企業を狙ったサイバー攻撃が上位を占めています。セキュリティ投資が少ない分だけ「攻めやすい」と見られているのが実情です。
初動対応:最初の30分が被害の大きさを決める
インシデントが疑われる状態に気づいたら、最初の30分間の動きが非常に重要です。この段階で間違えると、証拠が消えたり、被害が他のPCやサーバーに広がったりします。
1. 感染・漏えいが疑われる端末をネットワークから切り離す
問題のあるPCやサーバーのLANケーブルを抜くか、Wi-Fiをオフにします。電源は切らないことが重要です。電源を切ると、メモリに残っている攻撃者の痕跡(マルウェアの活動ログなど)が消えてしまい、原因調査が困難になります。
| 操作 | 正しい対応 | やってはいけないこと |
|---|---|---|
| ネットワーク | LANケーブルを抜く/Wi-Fiをオフにする | そのまま使い続ける |
| 電源 | 電源は入れたままにしておく | すぐに電源を切る・再起動する |
| ソフトウェア操作 | 何もせず現状を保持する | ウイルス対策ソフトをすぐ走らせる |
2. 状況を記録する
気づいた時刻、症状(画面の状態・エラーメッセージ・直前の操作内容)をメモに残します。スマホで画面を撮影するのが最も簡単です。後で原因調査や保険申請の際に必要になります。
3. 社内への第一報を出す
「○○のPCに異常があります。確認するまで社内ネットワークとファイルサーバーの使用を控えてください」と社内全体に短くアナウンスします。他の従業員が感染したPCにアクセスして被害を広げるリスクを減らすためです。
被害の範囲を把握する
初動対応が終わったら、被害がどこまで広がっているかを確認します。確認すべきポイントは次の3点です。
・影響を受けたシステム・端末の特定: ファイルが暗号化されているPC、不審なログイン履歴があるアカウントを洗い出す
・流出した可能性のあるデータの特定: 顧客情報・財務データ・社員情報など個人情報が含まれているかを確認する
・攻撃の入口の特定: 不審なメールの添付ファイル、外部からのアクセスログなどを確認する
自社だけで判断が難しい場合は、契約しているITベンダーやセキュリティ会社へ連絡します。IPAの「情報セキュリティ安心相談窓口」(電話相談無料)に問い合わせることもできます。
社内外への報告・通知
【社内】経営層への報告
被害状況・影響範囲・対応方針を経営者に報告します。業務停止の判断・外部専門家の依頼・警察への届け出は経営者の判断が必要です。担当者が独断で動かないことが重要です。
【社外】個人情報が漏えいした場合は報告義務あり
2022年の個人情報保護法改正により、個人情報が漏えい・滅失・毀損した場合、個人情報保護委員会への報告と本人への通知が義務化されています。
報告が必要になる主なケース:
・不正アクセスによる個人情報漏えい
・要配慮個人情報(病歴・障害情報など)の漏えい
・1,000件以上の個人情報漏えい
発覚から「速やかに」(概ね3〜5日以内)に個人情報保護委員会へ報告し、本人への通知は「可能な限り速やかに」行います。報告が遅れると行政処分の対象になる可能性があります。
復旧手順:再感染させないために順番を守る
1. クリーンな環境から再開する
感染した端末はOSの再インストールを基本とします。感染したPCを「とりあえず動いているから」と使い続けると、バックドア(攻撃者が後から侵入できる裏口)が残ったままになるリスクがあります。
2. バックアップから復元する
クラウドバックアップや外部HDDにデータが保存されていれば、そこから復元します。バックアップが感染前のものであることを必ず確認してから復元します。バックアップが存在しない場合は、データの再入力が必要になり、業務再開まで数日〜数週間かかることもあります。
3. セキュリティ設定を強化してからネットワークへ戻す
復旧した端末を社内ネットワークに接続する前に、以下を確認します。
・パスワードの全面変更(特にクラウドサービスのID・パスワード)
・多要素認証(MFA)の有効化
・OSとソフトウェアの最新アップデートの適用
・ウイルス対策ソフトの更新と全体スキャン
費用の目安
インシデント対応にかかる費用は、被害規模によって大きく異なります。事前の対策コストと比較すると、事後対応は圧倒的に高くつきます。
| 対応内容 | 費用の目安 | 備考 |
|---|---|---|
| 外部セキュリティ会社への調査依頼 | 50万〜300万円 | 被害規模・調査範囲による |
| PC・サーバーの再構築(業者依頼) | 10万〜50万円/台 | データ復旧費用は別途 |
| 業務停止による機会損失 | 数十万〜数百万円 | 停止期間・業種による |
| サイバー保険適用の場合 | 上記費用の一部をカバー | 年間保険料3万〜20万円程度 |
(執筆時点: 2026年4月)
サイバー保険に加入していれば、調査費用・賠償費用・業務停止損失の一部が補填されます。未加入の場合、すべて自社負担になります。
よくある失敗と回避策
・「まず再起動してみよう」: メモリ上の攻撃の痕跡が消えて原因調査が困難になります。ネットワーク遮断が先です。
・「ウイルス対策ソフトですぐスキャン」: マルウェアが検知を察知してログを消去したり、別の攻撃を発動する場合があります。スキャンは専門家の指示のもとで行います。
・「社内で口頭のみで収束させた」: 個人情報保護法の報告義務を怠ると行政処分の対象になります。
・「バックアップがなかった」: 定期的なクラウドバックアップが最大の保険です。月額1,000〜3,000円程度で始められます。
・「対応手順を事前に決めていなかった」: パニック状態では正しい判断が難しいです。「何か起きたら最初に誰に連絡するか」を1枚の紙にまとめておくだけで大きく違います。
本記事のまとめ
セキュリティインシデントへの対応は「速さ」と「順番」が命です。再起動や闇雲なスキャンで証拠を消してしまう前に、ネットワークを遮断して状況を記録することが最優先です。
・気づいたらまず:ネットワーク遮断→状況を記録→社内アナウンス(再起動・スキャンは後回し)
・次に:被害範囲の特定→経営者への報告→必要に応じて個人情報保護委員会への届け出
・復旧時:OS再インストール→バックアップ復元→セキュリティ強化→ネットワーク再接続
「もし今日インシデントが起きたら、最初に誰に連絡するか」を今すぐ決めておくことが、最もコストゼロで効果的な備えです。
セキュリティ対策の詳細については、姉妹サイトセキュリティマスターズ.TOKYOでも詳しく解説しています。
インシデント対応マニュアルを作りたいけど、何から始めればいい?
「セキュリティの専門家がいない中小企業でも実践できる対策」を、メルマガで毎週お届けしています。
中小企業のDXを身近な業務改善から始めたい方へ、実践的なDX推進ノウハウをお届けしています。
コメント