インシデント対応
インシデント対応ガイド:検知から復旧までの判断順序
異常を見つけた直後は、原因を急いで断定するより、被害を広げず証拠を残しながら判断することが重要です。まず検知内容と影響範囲を確認し、封じ込め、証拠保全、関係者への報告、復旧の順で進めます。該当する段階から読み始めてください。
Quick start
いま必要な対応から選ぶ
1. 検知した直後 アラートの事実を確認する 端末、利用者、時刻、検知名を記録し、正常・誤検知を早合点せず確認します。 確認する 2. 影響確認 影響範囲を見立てる 対象データ、アカウント、端末、外部共有の有無を整理し、優先度を決めます。 確認する 3. 封じ込め 拡大を止める 業務影響と証拠保全を両立しながら、隔離や認証情報の保護を判断します。 確認する 4. 証拠保全 消える情報から残す 時刻、ログ、メール、アラート、担当者の操作を改変せずに保存します。 確認する 5. 報告 事実と未確認事項を分ける 誰が、いつ、何を確認したかを整理し、決められた窓口へ報告します。 確認する 6. 復旧 安全を確認して戻す 侵入経路、再発条件、バックアップの健全性を確認して段階的に復旧します。 確認する
まず押さえる用語
実務で使う(チェックリスト・対応手順)
関連する脆弱性(CVE)
関連ニュース・解説
- AWSアクセスキー漏えい時の初動対応:無効化・CloudTrail確認・再発防止
- メール誤送信の初動対応 ─ 宛先・CC/BCC・添付ファイル間違いの確認チェックリスト
- サービスアカウントキー漏えい時の初動対応:無効化・影響確認・再発防止
- File Browserの認証関連脆弱性 ─ CVE-2026-54088/CVE-2026-54089の影響条件と初動対応
- GitHubリポジトリを誤って公開した時の初動対応 ─ シークレット・履歴・権限の確認チェックリスト
- Joomla拡張機能2件がCISA KEV入り ─ CVE-2026-56291/CVE-2026-48939の影響と初動対応
- 身に覚えのないMFA変更・解除通知の初動対応:認証方法を守る確認チェックリスト
- 身に覚えのないログイン通知の確認方法と初動対応 ─ 乗っ取りを見分けるチェックリスト