【テンプレ付き】IT担当者向け「インシデント対応マニュアル」の作り方 ── ランサムウェア・不正アクセス・情報漏洩の初動対応フロー
中小企業のIT担当者・ひとり情シス向け。ランサムウェア感染、不正アクセス、情報漏洩の3大インシデントに対応する初動対応フロー、連絡先テンプレート、チェックシート、エスカレーションルールをテンプレート付きで解説。IPAガイドラインに準拠した実践ガイド。
月曜朝、出社するとサーバの画面に見慣れない英語のメッセージが表示されている。 「Your files have been encrypted. Pay 2 BTC to…」
ランサムウェアに感染した瞬間、あなたは何をしますか? 誰に連絡しますか? ネットワークは遮断すべきですか? 警察に通報すべきですか? 経営者には何と報告しますか?
この問いに即答できなければ、インシデント対応マニュアルが必要です。
2025年、日本におけるランサムウェア被害は年間500件を超え、被害の6割以上が中小企業に集中しています。復旧に2ヶ月以上を要したケースや、調査・復旧費用が5,000万円を超えた事例も報告されています。
被害を未然に防ぐための対策は「ランサムウェア被害の5つの防御策」で解説しています。本記事では、中小企業のIT担当者が今日から使えるインシデント対応マニュアルのテンプレートを、3大インシデント(ランサムウェア、不正アクセス、情報漏洩)ごとに提供します。あわせて、「誰が対応するのか」という体制づくりについては「中小企業のCSIRT構築ガイド」で解説しています。初動や復旧に加え、システム優先度・RTO・RPO・訓練まで事業継続計画として一冊にまとめたい場合は「【テンプレ付き】中小企業のIT-BCP策定ガイド」も参照してください。バックアップ先をクラウドに置く場合の構成例やコスト感は「中小企業のクラウドDR入門」で整理できます。計画を国の認定制度に結びつけ、補助金加点なども含めて進めたい場合は「【申請テンプレ付き】事業継続力強化計画(ジギョケイ)完全ガイド」が対になる記事です。
想定読者
- 中小企業のIT担当者・ひとり情シスで、インシデント対応の準備ができていない方
- 「対応マニュアルを作れ」と経営者から指示を受けたが、何から手をつけていいか分からない方
- SCS評価制度のインシデント対応要件への準備を始めたい方
この記事で得られること
- インシデント対応の全体像(3フェーズ構造)
- 3大インシデント別の初動対応フロー(チャート付き)
- そのまま使えるテンプレート5点(連絡先一覧、初動チェックシート、エスカレーションルール、通報先一覧、報告書フォーマット)
- 机上演習の進め方
- よくある質問(FAQ)
本記事の信頼性
- 大手SIerで複数社のITコンサル・システム開発案件に従事し、外部から社内SEを見てきた経験
- 事業会社の情報システム部で社内SEとして勤務した経験
- IPA「中小企業のためのセキュリティインシデント対応の手引き」に準拠
目次
- なぜインシデント対応マニュアルが必要なのか
- インシデント対応の3フェーズ構造
- テンプレート① 緊急連絡先一覧
- テンプレート② 初動チェックシート
- インシデント別 初動対応フロー
- テンプレート③ エスカレーションルール
- テンプレート④ 通報・届出先一覧
- テンプレート⑤ インシデント報告書フォーマット
- 机上演習の進め方
- よくある質問(FAQ)
- まとめ
なぜインシデント対応マニュアルが必要なのか
マニュアルがないとどうなるか
セキュリティインシデントが発生した直後は、極度のパニック状態になります。マニュアルがなければ、以下のような事態に陥ります。
graph TD
A["🔴 インシデント発生!"] --> B["😰 パニック<br/>何をすべきか分からない"]
B --> C["⏰ 初動が遅れる<br/>被害が拡大する"]
B --> D["📞 誰に連絡すべきか<br/>分からない"]
B --> E["⚠️ 証拠を消してしまう<br/>(再起動・電源OFF等)"]
C --> F["🔴 業務停止の長期化<br/>損害賠償・信用失墜"]
D --> F
E --> F
style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
style B fill:#ea580c,stroke:#c2410c,color:#ffffff
style C fill:#d97706,stroke:#b45309,color:#ffffff
style D fill:#d97706,stroke:#b45309,color:#ffffff
style E fill:#d97706,stroke:#b45309,color:#ffffff
style F fill:#7f1d1d,stroke:#991b1b,color:#ffffffマニュアルがあるとどうなるか
逆に、マニュアルが事前に整備されていれば、パニック状態でも「次にやるべきこと」が明確になります。初動の30分で適切な対応ができるかどうかが、被害の大小を決定的に分けます。
法的要請の強化
2022年の個人情報保護法改正により、個人データの漏洩が発生した場合は個人情報保護委員会への報告と本人への通知が義務化されています。適切な対応手順を事前に定めておかなければ、法令違反のリスクもあります。
📌 SCS評価制度との関連 2026年度末に開始予定のSCS評価制度では、インシデント対応体制の整備が★3(Basic)の要求事項に含まれます。詳しくは「情シスが取り組むべき3大「制度・規制対応」」をご覧ください。
インシデント対応の3フェーズ構造
インシデント対応は、検知・初動 → 報告・公表 → 復旧・再発防止の3フェーズで構成されます。これはIPAの「中小企業のためのセキュリティインシデント対応の手引き」に準拠した構造です。
graph TB
P1["🔍 フェーズ1<br/>検知・初動対応<br/>(発生〜数時間)"] --> P2["📢 フェーズ2<br/>報告・公表<br/>(数時間〜数日)"]
P2 --> P3["🔧 フェーズ3<br/>復旧・再発防止<br/>(数日〜数ヶ月)"]
style P1 fill:#dc2626,stroke:#b91c1c,color:#ffffff
style P2 fill:#d97706,stroke:#b45309,color:#ffffff
style P3 fill:#059669,stroke:#047857,color:#ffffff| フェーズ | 目的 | 主なアクション | 時間目安 |
|---|---|---|---|
| 1. 検知・初動 | 被害拡大を止める | ネットワーク遮断、影響範囲の確認、証拠保全 | 発生〜数時間 |
| 2. 報告・公表 | 関係者に情報共有 | 経営層報告、監督官庁届出、取引先通知、公表判断 | 数時間〜数日 |
| 3. 復旧・再発防止 | 正常状態に戻す+再発を防ぐ | システム復旧、原因究明、対策実施、振り返り | 数日〜数ヶ月 |
テンプレート① 緊急連絡先一覧
インシデント発生時に最初に必要になるのが「誰に連絡するか」です。紙に印刷してオフィスの壁に貼っておくことを強く推奨します(ネットワーク障害でデジタル版にアクセスできない場合に備えて)。
【テンプレート】緊急連絡先一覧
| # | 区分 | 連絡先名 | 担当者名 | 電話番号 | メール | 備考 |
|---|---|---|---|---|---|---|
| 1 | 社内 | 経営者/社長 | ○○ ○○ | 090-XXXX-XXXX | — | 最優先で報告 |
| 2 | 社内 | IT担当者 | ○○ ○○ | 090-XXXX-XXXX | [email protected] | 技術対応の主担当 |
| 3 | 社内 | 総務/管理部門 | ○○ ○○ | 090-XXXX-XXXX | — | 対外連絡窓口 |
| 4 | 外部 | ITベンダー/保守会社 | ○○株式会社 | 0120-XXX-XXX | [email protected] | 保守契約No.○○ |
| 5 | 外部 | セキュリティ専門会社 | ○○株式会社 | 03-XXXX-XXXX | — | インシデント調査 |
| 6 | 外部 | 顧問弁護士 | ○○法律事務所 | 03-XXXX-XXXX | — | 法的判断 |
| 7 | 公的 | 警察(サイバー犯罪相談窓口) | 所轄警察署 | #9110 | — | 犯罪性がある場合 |
| 8 | 公的 | IPA(情報処理推進機構) | — | 03-5978-7509 | — | ウイルス届出窓口 |
| 9 | 公的 | 個人情報保護委員会 | — | 03-6457-9685 | — | 個人情報漏洩時 |
| 10 | 公的 | JPCERT/CC | — | — | [email protected] | 不正アクセス報告 |
⚠️ 重要:この一覧は必ず紙にも印刷してください ランサムウェアに感染した場合、社内ネットワークが使えなくなります。デジタルファイルにしかアクセスできない状態では、連絡先を確認することすらできません。
テンプレート② 初動チェックシート
インシデントを検知したら、パニック状態でも「上から順にやる」だけで適切な初動ができるチェックシートです。
【テンプレート】初動チェックシート(全インシデント共通)
発生日時: 年__月__日 時__分 発見者: __________ インシデントの種別: □ランサムウェア □不正アクセス □情報漏洩 □その他()
| # | アクション | 完了 | 時刻 | メモ |
|---|---|---|---|---|
| 1 | 状況を記録する(画面のスクリーンショット撮影、表示メッセージのメモ) | ☐ | __ : __ | |
| 2 | 感染/被害端末をネットワークから隔離する(LANケーブルを抜く、Wi-Fiを切る。電源は切らない) | ☐ | __ : __ | |
| 3 | 緊急連絡先一覧に基づき、経営者とIT担当者に連絡する | ☐ | __ : __ | |
| 4 | 影響範囲を確認する(他のPCやサーバに症状が広がっていないか) | ☐ | __ : __ | |
| 5 | 5W1Hで状況を整理する(いつ、どこで、誰が、何を、なぜ、どうしたのか) | ☐ | __ : __ | |
| 6 | 外部専門家に連絡する(ITベンダー、セキュリティ会社) | ☐ | __ : __ | |
| 7 | インシデントの種別に応じた個別フローに進む(次章を参照) | ☐ | __ : __ |
⚠️ 絶対にやってはいけないこと
- 感染PCの電源を切らない(メモリ上のログや証拠が消えます)
- 身代金を支払わない(支払っても復旧される保証はなく、さらなる攻撃を招きます)
- 自己判断でシステムを復旧しない(証拠が消えて原因究明ができなくなります)
- SNSで情報を公開しない(攻撃者に情報を与えてしまいます)
インシデント別 初動対応フロー
ケース1:ランサムウェア感染
graph TD
A["🔴 ランサムウェア感染<br/>を検知"] --> B["① 画面を撮影<br/>(証拠保全)"]
B --> C["② 感染端末を<br/>ネットワークから<br/>隔離"]
C --> D["③ 他のPC/サーバに<br/>感染が広がっていないか<br/>確認"]
D --> E{"広がっている?"}
E -->|Yes| F["④-a 全社ネットワーク<br/>を遮断"]
E -->|No| G["④-b 感染端末のみ<br/>隔離を継続"]
F --> H["⑤ 経営者に報告<br/>外部専門家に連絡"]
G --> H
H --> I["⑥ バックアップの<br/>状態を確認<br/>(感染していないか)"]
I --> J["⑦ 警察に相談<br/>(#9110)<br/>IPAに届出"]
J --> K["⑧ 外部専門家と<br/>復旧計画を策定"]
style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
style F fill:#7f1d1d,stroke:#991b1b,color:#ffffff
style H fill:#d97706,stroke:#b45309,color:#ffffff
style K fill:#059669,stroke:#047857,color:#ffffffランサムウェア固有のポイント:
- バックアップがオフラインで保管されていれば、復旧の可能性が高い(具体的な体制構築は「3-2-1ルールのバックアップ実践法」を参照)
- 身代金は絶対に支払わない(警察庁・IPAの方針)
- 暗号化されたファイルは削除せず保全する(復号ツールが公開される場合がある)
- No More Ransom(https://www.nomoreransom.org/ja/)で復号ツールがないか確認する
ケース2:不正アクセス
graph TD
A["🔴 不正アクセス<br/>を検知"] --> B["① ログを確認<br/>不審なアクセス<br/>の特定"]
B --> C["② 不正アクセス元の<br/>IPアドレスを遮断"]
C --> D["③ 侵害されたアカウント<br/>のパスワードを変更<br/>+MFA設定"]
D --> E["④ 他のアカウントに<br/>不正アクセスが<br/>ないか確認"]
E --> F["⑤ VPN機器・ルーターの<br/>ファームウェアを確認<br/>(脆弱性の有無)"]
F --> G["⑥ 経営者に報告<br/>外部専門家に連絡"]
G --> H["⑦ JPCERT/CCに<br/>報告"]
H --> I["⑧ 侵入経路の特定<br/>と対策実施"]
style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
style D fill:#d97706,stroke:#b45309,color:#ffffff
style G fill:#d97706,stroke:#b45309,color:#ffffff
style I fill:#059669,stroke:#047857,color:#ffffff不正アクセス固有のポイント:
- VPN機器の脆弱性が侵入経路となるケースが最も多い
- 退職者の未削除アカウントが悪用されていないか確認
- ログの保存期間を確認(消えていると原因究明ができない)
ケース3:情報漏洩
graph TD
A["🔴 情報漏洩<br/>を検知"] --> B["① 漏洩した情報の<br/>種類と範囲を特定"]
B --> C{"個人情報が<br/>含まれるか?"}
C -->|Yes| D["② 個人情報保護委員会に<br/>速報(発覚から<br/>3〜5日以内)"]
C -->|No| E["② 社内報告と<br/>影響範囲の確認"]
D --> F["③ 漏洩経路の特定<br/>(不正アクセス?<br/>メール誤送信?<br/>内部犯行?)"]
E --> F
F --> G["④ 情報が外部に<br/>公開されている場合は<br/>削除要請"]
G --> H["⑤ 被害者への通知<br/>(個人情報の場合は義務)"]
H --> I["⑥ 原因に応じた<br/>再発防止策を実施"]
style A fill:#dc2626,stroke:#b91c1c,color:#ffffff
style D fill:#ea580c,stroke:#c2410c,color:#ffffff
style H fill:#d97706,stroke:#b45309,color:#ffffff
style I fill:#059669,stroke:#047857,color:#ffffff情報漏洩固有のポイント:
- 個人情報が含まれる場合、個人情報保護委員会への「速報」は概ね3〜5日以内、「確報」は30日以内(不正アクセスの場合は60日以内)
- メール誤送信の場合は、送信先に削除を依頼する
- 情報の種類(個人情報、営業秘密、取引先情報等)によって対応が異なる
テンプレート③ エスカレーションルール
「誰が、いつ、誰に報告するか」を事前に定義しておきます。
【テンプレート】エスカレーションルール
graph TD
A["インシデント<br/>発見者"] -->|即時| B["IT担当者"]
B -->|15分以内| C["経営者/社長"]
B -->|30分以内| D["外部専門家<br/>(ITベンダー<br/>セキュリティ会社)"]
C -->|判断に基づき| E["取引先・顧客<br/>への通知"]
C -->|判断に基づき| F["監督官庁<br/>への届出"]
C -->|判断に基づき| G["プレスリリース<br/>Web公表"]
style A fill:#374151,stroke:#4b5563,color:#e5e7eb
style B fill:#2563eb,stroke:#1d4ed8,color:#ffffff
style C fill:#dc2626,stroke:#b91c1c,color:#ffffff
style D fill:#7c3aed,stroke:#6d28d9,color:#ffffff| レベル | 条件 | 報告先 | 報告期限 |
|---|---|---|---|
| レベル1(軽微) | ウイルス検知(被害なし)、不審メール受信 | IT担当者 | 当日中 |
| レベル2(中程度) | PC1台のマルウェア感染、不正ログイン試行 | IT担当者→経営者 | 発生から1時間以内 |
| レベル3(重大) | ランサムウェア感染、個人情報漏洩、サーバダウン | IT担当者→経営者→外部専門家 | 発生から30分以内 |
テンプレート④ 通報・届出先一覧
インシデントの種類に応じた通報・届出先をまとめます。
【テンプレート】通報・届出先一覧
| インシデント種別 | 通報・届出先 | 根拠法令等 | URL/連絡先 |
|---|---|---|---|
| 全般 | 警察(サイバー犯罪相談窓口) | — | #9110 |
| 全般 | IPA(情報処理推進機構) | — | https://www.ipa.go.jp/security/todokede/ |
| 不正アクセス | JPCERT/CC | 不正アクセス禁止法 | https://www.jpcert.or.jp/form/ |
| 個人情報漏洩 | 個人情報保護委員会 | 個人情報保護法 | https://www.ppc.go.jp/personalinfo/legal/leakAction/ |
| 業法対応 | 所管省庁 | 各業法 | 業種により異なる |
| サイバー保険 | 保険会社 | 保険契約 | 契約内容を確認 |
💡 サイバーセキュリティお助け隊 IPAが認定する「サイバーセキュリティお助け隊サービス」は、中小企業向けに安価でインシデント対応支援を提供しています。事前に契約しておくと、いざというときに頼れる窓口になります。
テンプレート⑤ インシデント報告書フォーマット
インシデント収束後に作成する報告書のフォーマットです。社内の振り返りと、外部への報告に使用します。
【テンプレート】インシデント報告書
====================================
インシデント報告書
====================================
■ 基本情報
- 報告日:____年__月__日
- 報告者:__________
- インシデントID:INC-____-____
■ 発生概要
- 発生日時:____年__月__日 __時__分
- 検知日時:____年__月__日 __時__分
- インシデント種別:□ランサムウェア □不正アクセス □情報漏洩 □その他
- 影響を受けたシステム:__________
- 影響範囲(人数・期間):__________
■ 経緯(時系列)
| 日時 | 対応内容 | 担当者 |
|------|----------|--------|
| | | |
■ 被害状況
- データの暗号化/削除:□あり □なし
- 情報の漏洩:□あり □なし
- 業務への影響:__________
- 金銭的被害:__________
■ 原因分析
- 直接原因:__________
- 根本原因:__________
- 侵入経路(判明した場合):__________
■ 実施した対応
1. __________
2. __________
3. __________
■ 再発防止策
1. __________
2. __________
3. __________
※ フィッシング経由の侵入であれば従業員教育の強化を検討。年間計画の立て方は「[セキュリティ教育の年間計画の作り方](/blog/security-education-annual-plan-sme)」を参照
■ 外部報告状況
- 警察への届出:□済 □未 □不要
- IPA/JPCERT/CCへの届出:□済 □未 □不要
- 個人情報保護委員会への報告:□済 □未 □不要
- 取引先への通知:□済 □未 □不要
■ 今後のスケジュール
- __________机上演習の進め方
マニュアルを作っただけでは、いざというときに動けません。**年1〜2回の机上演習(テーブルトップ・エクササイズ)**を実施して、マニュアルの実効性を検証しましょう。
演習の進め方(90分)
graph TB
E1["📖 座学パート<br/>(30分)"] --> E2["🎭 シナリオ演習<br/>(40分)"]
E2 --> E3["💬 振り返り<br/>(20分)"]
style E1 fill:#2563eb,stroke:#1d4ed8,color:#ffffff
style E2 fill:#dc2626,stroke:#b91c1c,color:#ffffff
style E3 fill:#059669,stroke:#047857,color:#ffffff| パート | 時間 | 内容 |
|---|---|---|
| 座学 | 30分 | インシデント対応の3フェーズ、自社マニュアルの説明 |
| シナリオ演習 | 40分 | 「月曜朝、ファイルサーバが暗号化されていた」というシナリオで、誰が何をするか議論 |
| 振り返り | 20分 | マニュアルの改善点、連絡先の不備、手順の曖昧な箇所を洗い出す |
💡 IPAが無料で提供する教材 IPAは「セキュリティインシデント対応机上演習教材」を無料で公開しています。ランサムウェア感染のシナリオを使った演習教材(パワーポイント)と実施マニュアルがセットになっており、中小企業でもそのまま使えます。 参照:https://www.ipa.go.jp/security/sec-tools/ttx.html
演習後に確認すべきポイント
- 連絡先一覧は最新の状態か? 電話番号は通じるか?
- ネットワーク遮断の手順は全員が分かっているか?
- 経営者への第一報の内容・手段は明確か?
- バックアップからの復旧手順は検証済みか?
- 外部専門家との契約は有効か?
内製システム運用前のデータ消失──現場で身に染みた教訓
机上演習の話と並べて、実際の事故からの学びも紹介しておきます。情シスで内製開発したシステムが、本番運用開始の直前に 設定ミスが原因でプログラム・データが消失 した事故がありました。気づいたのは自分自身で、「データが明らかに少ない」という違和感が引き金でした。経営層への第一報は事象発生から 約1日後。今振り返ると、これは遅すぎる初動だったと感じています。原因切り分けに数時間、その後の原因調査と支援ベンダーへの問い合わせを挟んで、復旧までトータル1週間。関係者は管理者2名・ユーザー40名でした。
このとき上司から言われて今でも覚えている言葉が二つあります。一つは 「原因分析のため、あらゆるところから情報を集めよう」 ── 開発プラットフォーム提供ベンダー、情報子会社、社内インフラ担当など、思い当たる接点を全部当たれという指示でした。もう一つは 「原因調査も大事だが、ユーザー向けの対応・周知を先に考えよう」 ── 業務影響を最小化するため、原因が分かる前でも、ユーザーへの暫定対応と次のアナウンスのタイミングを設計せよ、という意味です。事故対応中は技術側の調査に没頭しがちですが、ユーザー側の体験を時系列で組み立てるのは別軸の仕事 だと、この事故で身に染みました。
経営層への第一報で「これだけは外せない」と痛感したのは、次の3要素です。
- 業務影響(どの業務が、いつから、どの範囲で止まっているか)
- 復旧見込み時期(暫定でも数値で示す)
- 原因(推定でも明示。「現在調査中」では経営層は次に動けない)
原因が完全に解明していなくても、推定の段階で「現時点ではこれが原因と見ている」と添えるかどうかで、経営層が次に判断できる材料がまったく変わります。
ユーザー40名への周知は Teamsで部内アナウンス をベースに、個別に問い合わせがあった方には その都度、口頭で個別に謝罪 という二段構えで対応しました。最終的に整備した再発防止策は「本番作業前は必ずバックアップを取得し、復元テストまで実施する」を手順書に組み込むこと。シンプルですが、これが運用前に徹底できていれば防げた事故だったというのが正直な振り返りです。中小企業の現場でも、内製・PoCなど “本番運用に入る直前” のフェーズが一番危ないと感じています。
よくある質問(FAQ)
Q1. IT担当者が1人しかいません。インシデント対応は可能ですか?
A. ひとり情シスでも、本記事のテンプレートを事前に整備しておけば初動対応は可能です。重要なのは、「自分で全部やろうとしない」こと。外部の専門家(ITベンダー、セキュリティ会社、サイバーセキュリティお助け隊)の連絡先を事前に確保しておくことが最大のポイントです。さらに、「有事の際に誰がどの役割を担うか」を事前に決めておくCSIRT体制を整備すると、より確実な対応が可能になります。具体的な体制構築の手順は「中小企業のCSIRT構築ガイド」をご覧ください。
Q2. マニュアルはどの程度の頻度で更新すべきですか?
A. 最低でも年1回は見直してください。特に、担当者の異動・退職時、外部ベンダーの変更時、新しいシステム導入時は即座に更新が必要です。
Q3. ランサムウェアの身代金は払うべきですか?
A. 絶対に支払わないでください。 支払っても復旧される保証はなく、「支払う企業」としてさらなる攻撃の標的になります。警察庁・IPA・JPCERT/CCのいずれも、身代金の支払いを推奨していません。
Q4. 個人情報が漏洩した場合、いつまでに届出が必要ですか?
A. 個人情報保護法では、個人情報保護委員会への「速報」を概ね3〜5日以内、「確報」を30日以内(不正アクセスの場合は60日以内)に提出する必要があります。
Q5. セキュリティ専門家がいない場合、インシデント調査はどうすればいいですか?
A. 自社での調査は困難です。外部のセキュリティ専門会社(フォレンジック調査)に依頼してください。IPAの「サイバーセキュリティお助け隊サービス」は中小企業向けに安価なサービスを提供しています。
Q6. サイバー保険は加入すべきですか?
A. 加入を強くおすすめします。調査・復旧費用、損害賠償、利益損失をカバーできるため、万が一の場合の経営へのダメージを大幅に軽減できます。
Q7. SCS評価制度でインシデント対応は求められますか?
A. はい。★3(Basic)の要求事項に「セキュリティインシデント対応の体制・手順」が含まれる見通しです。本記事のテンプレートを整備しておけば、制度対応の基礎になります。
Q8. マニュアル整備やインシデント対応体制の構築を外部に依頼できますか?
A. はい。インシデント対応マニュアルの策定から、机上演習の実施、インシデント発生時の緊急支援まで、外部の専門家に依頼することが可能です。特にひとり情シスの方や、セキュリティの専門知識に不安がある場合は、専門家と協力して体制を構築することをおすすめします。
まとめ
本記事では、中小企業のIT担当者向けにインシデント対応マニュアルのテンプレート5点と、3大インシデント別の初動対応フローを提供しました。
| テンプレート | 用途 | 運用のポイント |
|---|---|---|
| ① 緊急連絡先一覧 | 発生直後の連絡 | 紙に印刷してオフィスに掲示 |
| ② 初動チェックシート | パニック時の行動指針 | 上から順にやるだけ |
| ③ エスカレーションルール | 報告の判断基準 | レベル別に即座に判断 |
| ④ 通報・届出先一覧 | 外部への報告 | インシデント種別で判断 |
| ⑤ 報告書フォーマット | 事後の振り返り | 時系列で記録する |
セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。 マニュアルがあるかないかで、被害の大きさが10倍にも100倍にも変わります。インシデント対応マニュアルは、IT担当者の退職・異動時にも引き継ぎドキュメントの一つとして整備しておくことが重要です。引き継ぎの全体像やテンプレートは「情シスの「引き継ぎ」完全ガイド」で解説しています。
本記事のテンプレートを印刷し、自社の情報を記入し、オフィスの見える場所に掲示してください。そして年1回の机上演習で、マニュアルの実効性を検証してください。
その備えが、会社を守ります。
関連記事
- 中小企業のCSIRT構築ガイド ── 本記事の「体制構築編」。マニュアルを運用する「チーム」の作り方を解説
- セキュリティ教育の年間計画の作り方 ── 再発防止策としての従業員教育を体系的に進める手順
- IT担当者が「最低限やるべき」セキュリティ対策15選 ── 予算ゼロでも今日から始められるセキュリティの基盤(インシデント対応計画の策定を含む)
- ゼロトラストセキュリティ入門 ── 侵入を防ぐMFA→ID管理→デバイス管理の段階的ロードマップ
- 情シスが取り組むべき3大「制度・規制対応」 ── SCS評価制度・AIガバナンス・レガシー刷新
- 中小企業の情シスの仕事内容とは?4つの業務領域を徹底解説 ── 障害対応を含む情シス業務の全体像
- 中小企業の「ひとり情シス」サバイバルガイド ── 着任後90日のロードマップ(外部相談先確保を含む)
- 情シスの「引き継ぎ」完全ガイド ── 退職・異動時の引き継ぎドキュメント整備(障害対応マニュアルを含む)
以上となります。
最後まで読んでいただき、ありがとうございました。
本記事は2026年2月時点の情報に基づいて作成しています。法令やガイドラインは変更される可能性があるため、最新情報はIPA・個人情報保護委員会等の公式サイトをご確認ください。