EDRアラート時の封じ込め判断基準｜ContainmentとQuarantineの違いと「隔離ルールブック」作成ガイド

そもそも「封じ込め」とは？インシデントレスポンスにおける重要性

• 被害拡大の阻止 マルウェアに感染した端末がネットワークに接続されたままだと、他のサーバーやPCへ感染を広げ（横展開）、組織全体に致命的なダメージを与える可能性があります。ランサムウェア攻撃を想像すると、その重要性がよくわかるでしょう。端末を迅速にネットワークから隔離することで、被害を最小限に食い止めます。
• 証拠保全 攻撃者は自身の痕跡を消そうとします。端末を隔離して現状を維持することで、その後の原因調査（フォレンジック）に必要なログやファイルなどのデジタル証拠を保全しやすくなります。この証拠が、攻撃手法の解明や再発防止策の策定に不可欠です。

---

「Containment」と「Quarantine」の明確な違いとは？

---

EDRにおける封じ込めの判断基準 – 5つのチェックポイント

1. アラートの深刻度と信頼性 まず、EDRが発したアラートの深刻度（Severity）を確認します。多くのEDR製品では「High」「Medium」「Low」などでレベル分けされており、一般的に「High」は即時対応の優先度が高くなります。 しかし、深刻度だけで判断するのは危険です。誤検知の可能性も常に考慮し、過去の事例や脅威インテリジェンスと照らし合わせ、検知された挙動が本当に悪意のあるものかを見極める必要があります。
2. 感染が疑われる端末の重要度 次に、アラートが発生した端末のビジネス上の重要度を評価します。基幹システムが稼働するサーバーや個人情報を保持するデータベースサーバーであれば、被害が甚大になるリスクが高いため、即時隔離が妥当です。 事前に資産台帳を整備し、各端末の重要度（機密性・完全性・可用性の観点）をランク付けしておくことが、迅速な判断に繋がります。
3. 影響範囲（横展開の可能性） 検知された脅威が、他の端末へ感染を広げる能力（横展開）を持つかも重要な判断基準です。特にランサムウェアやワームのように自己増殖するマルウェアは、発見次第、即座に隔離しなければ被害が爆発的に拡大します。 EDRのログから、不審なプロセスが他の端末への通信を試みていないか、管理者権限を奪取しようとしていないかなどを確認し、横展開のリスクが高い場合は迷わず隔離を実行すべきです。
4. ユーザーの役職と業務内容 端末を利用しているユーザーの属性も考慮すべき要素です。例えば、経営層や特権ID（管理者アカウント）を持つユーザーの端末でアラートが上がった場合、アカウント乗っ取りによる被害が甚大になるため、慎重かつ迅速な対応が求められます。 ただし、役員端末を安易に隔離すると経営判断の遅延などビジネスへの影響が大きいため、後述する例外運用のルールが不可欠です。
5. 業務への影響度 最後に、端末を隔離した場合にどのような業務がどれくらいの期間停止するのか、その影響度を評価します。工場の生産ライン制御端末を止めれば生産が、コールセンターのPCを止めれば顧客対応が停止します。 隔離による業務影響と、放置した場合のセキュリティリスクを天秤にかけ、どちらが組織にとってより大きな損害となるかを冷静に判断する必要があります。業務時間外の夜間や休日であれば、影響を小さく抑えつつ隔離できる場合もあります。

---

業務影響を最小化するための「封じ込めルールブック」作成ガイド

1. ステップ1: 対象資産の棚卸しと重要度分類 まず、組織内のIT資産（サーバー、PC等）をすべて洗い出し、台帳を作成します。その上で、各資産の役割や取り扱う情報に基づき、重要度を3～5段階でランク付けします（例：Sランク：事業継続に致命的な影響、Aランク：重要業務システム、Bランク：一般社員PCなど）。
2. ステップ2: 脅威シナリオごとの対応フロー策定 次に、「ランサムウェア感染の疑い」「標的型攻撃の兆候」といった脅威シナリオごとに、具体的な対応フローを定義します。「誰が」「何を」「どのタイミングで」「どこまで」封じ込めるのかを明確にします。 例：「Sランクサーバーで深刻度Highのアラートを検知した場合、即時自動でネットワーク隔離を実行する」
3. ステップ3: 権限とエスカレーションプロセスの明確化 誰に端末の隔離を実行する権限があるのかを明確に定めます。例えば、一次対応のSOCアナリストには限定的な権限のみを与え、サーバーの隔離などは情報システム部の承認を必須とする、といったルールです。判断に迷った場合の報告・指示系統（エスカレーションプロセス）も定めておき、混乱を防ぎます。
4. ステップ4: 例外運用のルール化（役員端末など） ビジネスインパクトの観点から、一律のルールを適用できない資産（役員端末など）に対する例外運用を定めます。一般的に役員端末は「原則として自動隔離は行わない」とし、その代わりに「アラート検知時は最高優先度で担当者に通知し、本人へ直接連絡する」「代替PCを即座に準備する」といった代替措置を明記します。
5. ステップ5: 定期的な見直しと訓練 ルールブックは一度作成したら終わりではありません。組織のシステム構成やビジネス環境の変化に合わせ、定期的に内容を見直す必要があります。また、年に数回、サイバー攻撃を想定したインシデント対応訓練を実施し、ルールブックが実際に機能するかを検証・改善していくプロセスが最も重要です。

---

封じ込めの先にある「Remediation（修復）」とは？

---

封じ込め運用の高度化：自動化のメリットと注意点

• 自動化のメリット 対応の迅速化が最大のメリットです。深夜や休日でも24時間365日、脅威を検知した瞬間に封じ込めを実行でき、被害拡大を効果的に防ぎます。また、アナリストはより高度な分析業務に集中でき、人的ミスも防げます。
• 自動化の注意点 誤検知による過剰な封じ込めが最大のリスクです。基幹サーバーを自動隔離してしまえば、全社的な業務停止を引き起こしかねません。自動化システムはビジネスインパクトを考慮できないため、ルールの設計を慎重に行う必要があります。

---

よくある質問（FAQ）

Q1: EDRで隔離した端末は、どうすれば元に戻せますか？

Q2: 誤検知で重要なサーバーを隔離してしまいました。どうすれば防げますか？

Q3: 「封じ込め」と「根絶」の違いは何ですか？

---

まとめ

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com