サイバー攻撃を受けたらまず何をすべき?初動対応チェックリスト
サイバー攻撃は、いつ、どの企業に起きてもおかしくない時代です。
2025年に国内で公表されたセキュリティインシデントは559件にのぼり、1日あたり約1.5件のペースで被害が報告されています。
しかし、被害の大きさを左右するのは「攻撃そのもの」よりも「攻撃を受けた直後の対応」です。
初動対応が適切であれば、被害を最小限に抑えることが可能です。
この記事では、サイバー攻撃を受けた際にまず何をすべきか、実務で使える初動対応チェックリストを解説します。
サイバー攻撃の初動対応が重要な理由
サイバー攻撃を受けた際、最初の数分から数時間の対応が、被害の規模を大きく左右します。
特にランサムウェア攻撃では、感染端末からわずか数分で社内ネットワーク全体に被害が拡大するケースが報告されています。
迅速にネットワークを隔離した企業では、被害を約20%低減できたという実績もあります。
一方で、初動対応が遅れた場合には、基幹サーバーやバックアップデータまで暗号化され、
事業の完全停止に追い込まれるリスクがあります。
2025年の統計では、約2,190万件の個人情報が流出しており、約2日に1回のペースで大規模な情報漏えいが発生しています。
こうした被害を最小限にとどめるためにも、初動対応の手順をあらかじめ整備しておくことが不可欠です。
サイバー攻撃を受けたらまずやるべき7ステップ
サイバー攻撃が疑われる場合、以下の7つのステップに沿って対応を進めてください。
ステップ1:異常の検知・連絡受付
まずは異常を正確に把握し、記録することが重要です。
以下の項目を確認しましょう。
- 発見日時と発見場所(どの端末・システムで発生したか)
- 発見者と発見の経緯
- どのような異常が起きているか(画面表示、動作不良、不審な通信など)
- なぜ異常だと判断したか
この段階では、確定情報でなくても構いません。「おかしい」と感じた時点で記録を始めてください。
ステップ2:感染端末のネットワーク隔離
異常が確認された端末は、速やかにネットワークから切り離してください。
LANケーブルを抜く、Wi-Fiを切断するなど、物理的な隔離が最も確実です。
この対応は数分以内に行うことが理想です。
隔離が遅れると、同じネットワーク内の他の端末やサーバーに被害が拡大するリスクが高まります。
注意点:感染端末の電源は切らないでください。
電源を落とすと、メモリ上の攻撃痕跡が消失し、後の調査(フォレンジック)に支障をきたす場合があります。
ステップ3:社内の緊急連絡・経営層への報告
ネットワーク隔離と並行して、社内の関係者へ速やかに連絡します。
セキュリティインシデントかどうか確定していない段階でも、早期に報告を開始することが重要です。
報告が遅れると、経営判断の遅延につながり、結果として被害が拡大するケースが多くあります。
連絡すべき対象は、情報システム部門、セキュリティ担当者、経営層、そして必要に応じて法務部門です。
ステップ4:被害範囲の初期調査
隔離が完了したら、被害がどこまで及んでいるかを調査します。
- 感染が確認された端末・サーバーの台数
- 影響を受けたデータやシステムの範囲
- 顧客情報や個人情報の流出の有無
- バックアップデータの安全性
この調査は、次のステップで外部への報告や専門家への依頼を行う際の基礎情報となります。
ステップ5:外部専門家・セキュリティベンダーへの連絡
自社だけでの対応に限界がある場合は、外部のセキュリティ専門家に支援を要請しましょう。
フォレンジック調査やマルウェア解析など、専門的な技術が必要となる場面は少なくありません。
契約しているセキュリティベンダーがある場合は、即座に連絡してください。
なお、セキュリティベンダーとの契約がない場合でも、JPCERT/CCに対応支援を依頼することが可能です。
ステップ6:関係機関への報告・届出
被害内容に応じて、以下の関係機関への報告・届出を行います。
| 報告先 | 役割・対応内容 | 連絡方法 |
|---|---|---|
| JPCERT/CC | 技術的なインシデント対応支援 | Webフォーム・メール |
| IPA(情報処理推進機構) | 被害情報の届出・相談 | Webフォーム・電話 |
| 警察庁(都道府県警察) | サイバー犯罪の捜査・通報受付 | オンライン窓口・電話 |
| 個人情報保護委員会 | 個人情報漏えい時の報告(義務) | Webフォーム |
個人情報の漏えいが発生した場合、個人情報保護法に基づき、個人情報保護委員会への報告と本人への通知が義務づけられています。
速報は発覚から「概ね3〜5日以内」、確報は「30日以内(不正アクセスの場合は60日以内)」に行う必要があります。
ステップ7:復旧と再発防止策の実施
被害の封じ込めが完了したら、システムの復旧作業に移ります。
復旧にあたっては、バックアップデータの安全性を必ず確認してください。
バックアップ自体が感染している可能性もあるため、復旧前にスキャンを実施することが重要です。
また、復旧後は同様の攻撃を防ぐための再発防止策を講じましょう。
攻撃の侵入経路を特定し、脆弱性の修正やセキュリティ設定の見直しを行います。
初動対応でやってはいけない3つのNG行動
緊急時には焦りから誤った対応をしてしまいがちです。
以下の3つは、初動対応でよくある間違いです。
NG1:感染端末の電源を切る
パニック状態で端末の電源を落としてしまうケースがよくあります。
しかし、電源を切るとメモリ上に残っている攻撃の痕跡やマルウェアの動作ログが消失します。
フォレンジック調査では、これらの情報が極めて重要です。
端末はネットワークから隔離するだけにとどめ、電源はそのままにしてください。
NG2:自己判断でシステムを復旧する
被害の全容が把握できていない段階で、焦ってシステムを復旧しようとするのは危険です。
攻撃者がまだネットワーク内に潜んでいる可能性があり、不用意な復旧作業が二次被害を招くことがあります。
復旧は、専門家の助言を得てから計画的に進めましょう。
NG3:インシデント対応マニュアルがない状態で対処する
事前に対応手順を整備していないと、緊急時に「誰が何をすべきか」が不明確になり、貴重な時間が失われます。
平時のうちにインシデント対応計画(IRP)を策定し、定期的な訓練を実施しておくことが、有事の際の迅速な対応につながります。
2026年に備えるべきサイバー攻撃の最新動向
2025年のサイバー攻撃の傾向を踏まえ、2026年に特に警戒すべきポイントを整理します。
ランサムウェア攻撃の増加と手口の巧妙化
2025年のインシデント全体に占めるランサムウェアの割合は9.7%で、前年の6.6%から大幅に増加しています。
侵入経路としては、VPN機器の脆弱性を突くケースが最も多く、次いでリモートデスクトップ(RDP)の認証突破、フィッシングメールが続きます。
VPN機器やネットワーク機器のファームウェアを常に最新の状態に保つことが、基本かつ最も重要な対策です。
AI駆動型攻撃の台頭
2026年にかけて、AIを活用したサイバー攻撃がさらに拡大すると予測されています。
大規模言語モデル(LLM)を使い、侵入先の環境に合わせてコマンドやスクリプトを動的に生成する攻撃が報告されています。
また、AIエージェントを悪用した自動化攻撃により、従来は人間の攻撃者が手動で行っていた作業が自動化されつつあります。
従来のシグネチャベースの対策だけでは対応が難しくなるため、EDR(Endpoint Detection and Response)など、
振る舞い検知型のセキュリティツールの導入が推奨されます。
「侵入される前提」の防御戦略へ
完璧な防御は不可能であるという前提に立ち、ゼロトラスト・アーキテクチャの考え方を取り入れることが重要です。
具体的には、多要素認証(MFA)の全システムへの展開、アクセス権限の最小化、ログの継続的な監視と分析が基本となります。
「攻撃を受けても被害を最小限に抑える」という設計思想が、これからの企業セキュリティの基本方針となります。
よくある質問(Q&A)
Q1:サイバー攻撃を受けたら、最初にすべきことは何ですか?
最も優先すべきは、感染が疑われる端末をネットワークから隔離することです。
LANケーブルを抜く、Wi-Fiを切断するなど、物理的にネットワーク接続を遮断してください。
これにより、同じネットワーク上の他の端末やサーバーへの被害拡大を防ぐことができます。
隔離と同時に、異常の内容を記録し、社内の情報システム部門や経営層への報告を開始してください。
Q2:中小企業でもサイバー攻撃の標的になりますか?
はい、中小企業もサイバー攻撃の標的になります。
むしろ、セキュリティ対策が手薄な中小企業は、大企業への攻撃の踏み台として狙われるケースが増えています。
いわゆる「サプライチェーン攻撃」と呼ばれる手法で、取引先の中小企業を経由して大企業のネットワークに侵入します。
企業規模に関わらず、基本的なセキュリティ対策と初動対応の準備は必須です。
Q3:サイバー攻撃を受けた場合、警察への届出は必要ですか?
はい、サイバー攻撃による被害を受けた場合は、警察への届出を推奨します。
特に、不正アクセスやランサムウェアによる被害は犯罪行為にあたるため、捜査機関への通報が重要です。
警察庁では「サイバー事案の統一オンライン受付窓口」を設けており、オンラインで通報・相談が可能です。
また、個人情報の漏えいが発生した場合は、個人情報保護委員会への報告が法律で義務づけられています。
Q4:インシデント対応を外部に依頼する場合の費用はどのくらいですか?
フォレンジック調査の費用は、対象端末の台数や被害の規模によって異なりますが、
一般的には1台あたり数十万円〜百万円程度が目安です。
大規模な被害の場合は、調査だけで数百万円〜数千万円に及ぶこともあります。
日頃からセキュリティベンダーと契約を結んでおくことで、緊急時の対応費用を抑えられる場合があります。