インシデント対応の正しい手順｜Containment・Quarantine・Eradication・Remediationをキルチェーンで判断する

効果的なインシデント対応手順を学ぶ前に、まずはその土台となる「インシデント対応のライフサイクル」と、攻撃者の視点である「サイバーキルチェーン」という2つの重要な概念を理解しておく必要があります。これらを把握することで、防御側が取るべきアクションがより明確になります。

インシデント対応とは、サイバー攻撃や情報漏洩などのセキュリティインシデントが発生した際に、その被害を最小限に食い止め、迅速に通常状態へ復旧し、再発防止策を講じるまでの一連の活動を指します。

米国の国立標準技術研究所（NIST）が発行するガイドライン「SP800-61」では、インシデント対応のライフサイクルを以下の4つのフェーズで定義しています。

このライフサイクルを円滑に回すためには、CSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）といった専門組織の役割が非常に重要です。

サイバーキルチェーンとは、米ロッキード・マーティン社が提唱した、サイバー攻撃のプロセスを段階的にモデル化したものです。攻撃者が目的を達成するまでに実行する一連の攻撃フェーズを可視化することで、防御側は「攻撃者が今どの段階にいるのか」を把握し、各フェーズで適切なセキュリティ対策を講じることが可能になります。

サイバーキルチェーンの主な7つのフェーズは以下の通りです。

インシデント対応においてキルチェーンを理解することは、「敵を知り、己を知れば百戦殆うからず」という言葉そのものです。例えば、不審な通信を検知した際に、それがキルチェーンの「遠隔操作」フェーズにあたると判断できれば、C2サーバーとの通信を遮断するという具体的な封じ込め策が有効になります。このように、攻撃フェーズを特定することが、効果的かつ的確な対応への第一歩となるのです。

インシデントを検知・分析した後、対応は「Containment」「Quarantine」「Eradication」「Remediation/Recovery」という一連の流れで進められます。この順番と各フェーズの目的を正確に理解することが、混乱を防ぎ、迅速な復旧を実現する鍵となります。

Containment（封じ込め）の最大の目的は、脅威が他のシステムやネットワーク全体へ拡散するのを防ぎ、被害の拡大を食い止めることです。これは、火事で言えば延焼を防ぐための防火壁を作るようなもので、あくまで一時的な応急処置です。この段階では、まだ根本原因の特定や駆除は行いません。

具体的なアクション例：

ここで最も注意すべきなのが「やりすぎ」問題です。例えば、1台のPCでマルウェア感染が疑われただけで、全社のファイルサーバーを停止させてしまうと、業務への影響は甚大です。封じ込めは、検知・分析フェーズで得られた情報に基づき、影響範囲を限定して行うのが鉄則です。この段階での判断は、業務影響とセキュリティリスクを天秤にかける難しいものですが、「恒久的な対策ではなく、あくまで一時的な措置」という認識を持つことが重要です。

Containmentによって被害拡大のリスクが低減されたら、次に行うのがQuarantine（隔離）とForensics（フォレンジック調査）です。Quarantineは、封じ込めた対象（端末など）を、さらに安全な調査用のネットワークセグメントなどに移動させ、詳細な分析を行うための準備段階と位置づけられます。

Containmentが「拡散防止」を目的とするのに対し、Quarantineは「安全な環境での証拠保全と分析」を目的とします。この違いを理解することが重要です。

このフェーズで中心となるのが、デジタルフォレンジック（Forensics）です。これは、コンピュータやネットワーク上に残されたログなどの電子的記録を収集・分析し、不正アクセスの経路や被害範囲、情報漏洩の有無といったインシデントの全容を解明する科学的調査手法です。

具体的なアクション例：

フォレンジック調査によって、攻撃の根本原因（例：特定の脆弱性、盗まれた認証情報など）を特定することが、次の「駆除」フェーズを確実に行うための前提となります。

フォレンジック調査によって攻撃の根本原因や影響範囲が特定できたら、次に行うのがEradication（駆除）です。このフェーズの目的は、システム内に潜むマルウェア本体、バックドア、不正に作成されたアカウントなど、攻撃の痕跡を完全に除去することです。

表面的なマルウェアファイルを削除するだけでは不十分な場合があります。攻撃者は、一度侵入すると再侵入を容易にするためのバックドアを複数設置したり、OSの正規の機能（PowerShellなど）を悪用して潜伏したりすることが多いため、根本原因からの排除が不可欠です。

具体的なアクション例：

駆除が不完全なまま復旧に進んでしまうと、すぐに再感染・再侵害されるリスクが残ります。フォレンジック調査の結果に基づき、確実な駆除作業を行うことが極めて重要です。

駆除が完了し、システムがクリーンな状態になったことを確認したら、最後のステップであるRemediationとRecovery（復旧）に移ります。Remediationは、システムを攻撃を受ける前の安全な状態に戻すための修復作業を指し、Recoveryは、修復されたシステムを本番環境に戻し、事業活動を再開させることを指します。

Remediationの具体例：

Remediationが完了したら、システムが正常に動作するかを十分にテストし、問題がないことを確認した上で、業務を再開（Recovery）します。関係部署や顧客への報告もこの段階で最終的に行われます。そして、この一連の対応が完了した後、事後対応フェーズへと移行し、今回のインシデントから得られた教訓を基に、再発防止策を策定・実行していくことになります。

インシデント対応の現場で頻繁に問題となるのが、前述した「やりすぎ封じ込め」です。これはなぜ起きてしまうのでしょうか。原因を理解し、業務影響を最小化するための考え方を身につけることが、優れたインシデント対応担当者になるための鍵です。

「やりすぎ」の最大の原因は、パニック状態における「情報不足」と「判断基準の欠如」です。インシデント発生直後は、被害の範囲や根本原因といった情報が全くありません。この不確実性の高さが恐怖心を生み、「最悪の事態を避けるために、念のため全てを止めておこう」という思考につながります。

この問題を解決し、冷静な判断を下すための2つのポイントを解説します。

一つ目のアプローチは、サイバーキルチェーンの概念を活用することです。検知した事象が、キルチェーンのどのフェーズに該当するかを推定することで、封じ込めの範囲を適切に判断する助けになります。

このように、脅威インテリジェンスやEDRなどのツールを活用して攻撃フェーズを特定する努力が、封じ込めレベルの的確な判断につながります。

もう一つの重要な考え方が、事前に業務影響評価（Business Impact Analysis, BIA）を実施しておくことです。BIAとは、どのシステムが停止すると、事業にどのような影響（金銭的損失、信用の失墜など）が、どれくらいの時間で発生するのかを評価・可視化する活動です。

例えば、「基幹システムは1時間停止すると1億円の損失」「情報系サイトは24時間停止しても損失は軽微」といった評価が事前にできていれば、インシデント発生時に冷静な判断ができます。基幹システムに関わるインシデントであれば迅速かつ大胆な封じ込めが必要かもしれませんが、影響の少ないシステムであれば、より慎重に調査を進めながら封じ込めの範囲を検討する、といった優先順位付けが可能になります。このBIAの結果をインシデント対応計画に組み込んでおくことが、業務影響の最小化に直結します。

インシデントは「起きてから対応する」のではなく、「起きることを前提に準備する」ものです。最後に、効果的なセキュリティ運用と緊急時対応を実現するために、平時から行っておくべき準備について解説します。

最も重要な準備は、組織としての公式なインシデント対応計画（IRP）を文書化しておくことです。IRPには、インシデント発生時の報告体制、各担当者の役割と責任、外部専門家への連絡手順、広報対応のポリシーなどを定めます。

さらに、具体的なインシデントシナリオを想定した「プレイブック」を作成することが推奨されます。「ランサムウェア感染時の対応プレイブック」「Webサイト改ざん時の対応プレイブック」のように、攻撃種別ごとの具体的な対応手順、チェックリスト、判断基準をまとめておくことで、有事の際に担当者が迷わずに行動できるようになります。NISTやIPA（情報処理推進機構）が公開しているガイドラインは、これらの策定において非常に参考になります。

インシデントの原因究明と全容解明に不可欠なフォレンジック調査ですが、準備がなければ満足な調査はできません。最も重要なのは「ログ」です。ファイアウォール、プロキシ、Active Directory、EDR、各種サーバーなど、調査に必要となるログを事前に定義し、十分な期間（最低でも90日、可能であれば1年以上）保管するセキュリティ運用体制を構築しておく必要があります。ログがなければ、攻撃者が何をしたのかを追跡することは不可能です。

また、高度なフォレンジック調査には専門的な知識とツールが必要です。自社で対応できる範囲を明確にし、必要に応じて迅速に支援を依頼できるよう、外部のフォレンジック専門ベンダーと事前に契約や連携体制を整えておくことも賢明な策です。

策定したインシデント対応計画やプレイブックは、作っただけでは意味がありません。定期的に机上演習や実践的なサイバー演習（レッドチーム演習など）を実施し、その実効性を検証する必要があります。訓練を通じて、手順の不備や担当者の知識不足といった課題が明らかになります。その結果をフィードバックし、計画を継続的に見直し、改善していくプロセスが、組織のインシデント対応能力を真に高めるのです。

本記事では、サイバーキルチェーンの概念を基軸に、インシデント対応におけるContainmentからRemediationまでの正しい手順と、業務影響を最小化するための考え方について解説しました。

本記事の要点：

サイバー攻撃はますます高度化・巧妙化しており、完璧な防御は不可能です。しかし、インシデント発生を前提とした準備を怠らず、正しい手順と判断基準を持って対応することで、被害を最小限に抑え、事業継続性を確保することは十分に可能です。

Q1: Containment（封じ込め）とQuarantine（隔離）の具体的な違いは何ですか？

A1: Containment（封じ込め）の主目的は「脅威の拡散防止」です。感染端末をネットワークから切り離すなど、被害が広がるのを食い止める応急処置を指します。一方、Quarantine（隔離）は「安全な分析環境の確保」が目的です。封じ込めた端末を調査専用のネットワークに移すなどして、フォレンジック調査のために証拠を保全し、詳細な分析を行うためのステップです。目的が「拡散防止」か「安全な分析」かで区別されます。

Q2: インシデント対応で最も重要なことは何ですか？

A2: 「平時からの準備」と「冷静な判断」です。インシデント対応計画（IRP）やプレイブックの策定、ログの適切な保管、定期的な訓練といった事前の備えがなければ、有事に迅速かつ的確な対応はできません。また、インシデント発生時にはパニックに陥らず、収集した情報に基づいて、業務影響とセキュリティリスクを天秤にかけながら冷静に判断を下すことが、被害を最小化する上で極めて重要になります。

Q3: 専門知識がなくてもインシデント対応はできますか？

A3: 初動対応の一部は可能ですが、根本的な解決には専門知識が不可欠です。例えば、ヘルプデスクが不審なPCをネットワークから切り離すといった初動（Containment）は、事前の手順書があれば可能です。しかし、ログ分析やマルウェア解析といったフォレンジック調査や、脅威の完全な駆除には高度な専門性が求められます。自社にCSIRTのような専門チームがない場合は、速やかに外部のセキュリティ専門ベンダーに支援を要請できる体制を整えておくことが重要です。