【テンプレート付】サイバーキルチェーン別インシデント対応プレイブック｜7段階ごとの手順・役割を解説

なぜ今、キルチェーンに基づいたプレイブックが必要なのか？

インシデント対応の課題とプレイブックの重要性

---

サイバーキルチェーンとは？攻撃者の思考を理解する7段階のフレームワーク

サイバーキルチェーンの7段階

• 偵察 (Reconnaissance): 攻撃対象の情報を収集する。
• 武器化 (Weaponization): マルウェアなど攻撃用のツールを作成する。
• 配送 (Delivery): 攻撃ツールを標的に送り込む。
• 攻撃 (Exploitation): 脆弱性を利用してコードを実行させる。
• インストール (Installation): マルウェアなどを標的システムに常駐させる。
• 遠隔操作 (Command & Control / C2): 外部からシステムを不正に操作する。
• 目的の実行 (Actions on Objectives): データの窃取や破壊など最終目的を遂行する。

---

【テンプレート付】サイバーキルチェーン7段階別インシデント対応プレイブック

段階1：偵察 (Reconnaissance)

• 検出すべき事象:
  • 特定のIPアドレスからの大量のポートスキャンやネットワークスキャン
  • 自社ドメインに対する異常なDNSクエリの増加
  • 従業員情報収集を目的としたSNSやWebサイトのクロール活動
  • フィッシング攻撃の準備段階として、偽ドメインの取得や証明書の申請
• 担当部署・役割:
  • SOC: 監視、ログ分析、脅威インテリジェンスの活用
  • ITインフラ担当: ファイアウォール、IDS/IPSの運用管理
• 具体的な対応手順:
  • 検知: ファイアウォール、IDS/IPS、WAFのアラートを監視し、不審なスキャン活動を検出する。SIEMを活用し、複数のログを相関分析して異常を特定する。
  • 分析: 攻撃元IPアドレスの評価を行う。脅威インテリジェンス情報を参照し、既知の攻撃者インフラかどうかを確認する。
  • 防御: 分析の結果、悪意のある活動と判断されたIPアドレスからのアクセスをファイアウォールやIPSでブロックする。
• 証拠保全のポイント:
  • ファイアウォール、プロキシ、DNSサーバーのアクセスログ
  • IDS/IPSのアラートログ
  • パケットキャプチャデータ（可能であれば）
  • 注意点: これらのログは、攻撃の初期段階を証明する重要な証拠です。タイムスタンプとともに正確に記録・保管してください。

---

段階2＆3：武器化 (Weaponization) ＆ 配送 (Delivery)

• 検出すべき事象:
  • 実行形式ファイル（.exe, .scrなど）が添付された不審なメールの受信
  • パスワード付きZIPファイルと、パスワードを記載した別メールの受信（PPAP）
  • 公的機関や取引先を装った標的型メール（スピアフィッシング）
  • 短縮URLなど、偽装されたリンクへのアクセス
• 担当部署・役割:
  • SOC/CSIRT: アラートの分析、インシデントハンドリング
  • メール/ネットワーク担当: フィルタリング設定、通信ログの調査
  • 従業員: 不審なメールやリンクの報告（第一の防御線としての役割）
• 具体的な対応手順:
  • 検知: メールセキュリティゲートウェイ、サンドボックス、EDR（Endpoint Detection and Response）のアラートを監視する。従業員からの通報も重要な検知ソースです。
  • 分析: 疑わしい添付ファイルをサンドボックスで実行し、挙動を分析する。メールヘッダを調査し、送信元情報を確認します。記載されたURLのリンク先を安全な環境で調査します。
  • 封じ込め: 悪意のあるメールが多数の従業員に配信されている場合、メールサーバーから該当メールを検索・削除する。悪意のあるドメインやIPアドレスへの通信をプロキシやファイアウォールでブロックする。
• 証拠保全のポイント:
  • 対象のメールデータ（.eml形式での保全が望ましい）
  • 添付されていたマルウェアの検体
  • サンドボックスの分析レポート
  • 関連する通信ログ（メールサーバー、プロキシ）

---

段階4：攻撃 (Exploitation)

• 検出すべき事象:
  • アンチウイルスソフトやEDRからのマルウェア検知アラート
  • IDS/IPSからの脆弱性を悪用する通信の検知
  • アプリケーションの異常終了やシステムの不安定化
  • PowerShellなど正規ツールを利用した不審なコマンドの実行
• 担当部署・役割:
  • CSIRT: インシデントのトリアージ、初動対応の指揮
  • セキュリティ担当: EDRの操作、端末の隔離
  • サーバー/クライアント管理者: パッチ適用、システムの調査
• 具体的な対応手順:
  • 初動対応（封じ込め）: 侵害が疑われる端末を直ちにネットワークから隔離する。物理的にLANケーブルを抜く、またはEDR等の機能で論理的に隔離します。これにより、マルウェアの水平展開（ラテラルムーブメント）を防ぎます。
  • 調査・分析: EDRのプロセスログやイベントログを分析し、どの脆弱性が悪用され、何のプロセスが実行されたかを特定する。
  • 駆除・復旧: 脆弱性が特定された場合、緊急パッチを適用する。マルウェアの駆除を試みるが、完全なクリーンアップが困難な場合は、OSの再インストールを検討する。
• 証拠保全のポイント:
  • 侵害された端末のメモリダンプ（電源を切る前に取得することが最重要）
  • 侵害された端末のディスクイメージ（フォレンジック調査の基本）
  • OSのイベントログ、アプリケーションログ
  • EDRが記録したプロセス実行ログやファイル操作ログ

---

段階5：インストール (Installation)

• 検出すべき事象:
  • 未知の実行ファイルやスクリプトがスタートアップフォルダやタスクスケジューラに登録される
  • レジストリの自動実行キー（Runキーなど）に不審な値が追加される
  • 正規のシステムファイルに偽装したマルウェアの作成
  • ルートキットによるファイルの隠蔽
• 担当部署・役割:
  • CSIRT/フォレンジック担当: 詳細なマルウェア解析、永続化メカニズムの調査
• 具体的な対応手順:
  • 調査: 隔離した端末のディスクイメージをフォレンジックツールで詳細に分析し、マルウェア本体と永続化の手法を特定する。
  • 分析: 発見されたマルウェアをリバースエンジニアリングし、機能や通信仕様を解明する。これにより、C2サーバーの情報を特定できる場合があります。
  • 水平展開の調査: 同じマルウェアが他の端末にも感染していないか、EDRやログ分析を通じて全社的に調査する。
• 証拠保全のポイント:
  • ディスクイメージとメモリイメージ（段階4で取得したもの）
  • レジストリのハイブファイル
  • 不審なファイルのハッシュ値（脅威インテリジェンスとの照合に利用）

---

段階6：遠隔操作 (Command & Control / C2)

• 検出すべき事象:
  • 業務で利用しない国や、不審なIPアドレスへの定期的な通信
  • HTTP/HTTPS以外の異常なプロトコルでの通信
  • DNSクエリにおけるDGA（Domain Generation Algorithm）の特徴を持つドメインへの問い合わせ
  • 隠蔽されたC2通信（DNSトンネリングなど）
• 担当部署・役割:
  • SOC: 通信ログの監視、異常な通信パターンの検出
  • CSIRT: C2通信の分析、遮断措置の実施
  • ネットワーク担当: ファイアウォール、プロキシの設定変更
• 具体的な対応手順:
  • 検知: プロキシ、ファイアウォール、DNSサーバーのログを監視し、不審な宛先への通信を特定する。SIEMやNDR（Network Detection and Response）ツールが有効です。
  • 分析: 通信先のIPアドレスやドメイン名を脅威インテリジェンスと照合し、既知のC2サーバーでないか確認する。パケットキャプチャを行い、通信内容を分析する。
  • 封じ込め: 特定したC2サーバーのIPアドレスやドメインを、ファイアウォールやプロキシで即座にブロックする。これにより、攻撃者からの遠隔操作を無力化し、情報窃取やさらなる攻撃活動を阻止します。
• 証拠保全のポイント:
  • ファイアウォール、プロキシ、DNSの通信ログ（対象期間を広めに確保）
  • パケットキャプチャデータ
  • NDRやIDSのアラートログ

---

段階7：目的の実行 (Actions on Objectives)

• 検出すべき事象:
  • 管理者アカウントによる短時間での大量のファイルアクセス
  • ファイルサーバー上のデータが圧縮ファイル（.zip, .rarなど）にまとめられる
  • 外部のクラウドストレージなどへの大量のデータアップロード
  • Active Directoryのデータベース（ntds.dit）への不正アクセス
  • システム上のファイルが次々と暗号化される（ランサムウェアの兆候）
• 担当部署・役割:
  • CSIRT: 被害範囲の特定、インシデント対応全体の統括
  • フォレンジック担当: データ窃取の痕跡調査
  • 事業部門/法務/広報: 事業影響の評価、対外的なコミュニケーション、当局への報告
• 具体的な対応手順:
  • 被害範囲の特定: どのサーバーの、どのデータが、いつアクセスされ、外部に持ち出されたか（または暗号化されたか）をログから特定する。影響を受けるシステムと業務を洗い出す。
  • 復旧: 窃取されたアカウントのパスワードを強制的に変更し、セッションを無効化する。バックアップからデータをリストアし、システムを正常な状態に戻す。
  • 事後対応: 経営層への報告、必要に応じて監督官庁や警察への届け出、顧客への通知を行う。原因分析の結果を基に、恒久的な再発防止策を策定し、実施する。
• 証拠保全のポイント:
  • ファイルサーバーやデータベースのアクセスログ
  • Active Directoryのセキュリティイベントログ
  • データ転送の証拠となるネットワークトラフィックログ
  • ランサムウェアの場合は、身代金要求のメッセージ（ランサムノート）

---

インシデント対応におけるフォレンジック調査と証拠保全の重要性

---

実践的なプレイブックを作成・運用するための3つのポイント

1. 自社の体制に合わせたカスタマイズ

2. 定期的な見直しと訓練の実施

3. ツール連携による対応の自動化 (SOARの活用)

---

まとめ：準備された計画こそが最大の武器

よくある質問（FAQ）

Q1: プレイブックとインシデント対応手順書の違いは何ですか？

Q2: 中小企業でもキルチェーンに基づいたプレイブックは必要ですか？

Q3: プレイブックの作成にはどのくらいの時間がかかりますか？

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com