【メモ】事故を起こしたかもしれないときの初動
はじめに
セキュリティ事故は、起こさないことが理想です。
ただし現実には、誤送信、端末紛失、不審リンクのクリック、共有設定ミスのような「起きたかもしれない」場面が発生します。1
このときに重要なのは、完璧に一人で解決することではありません。
早く異常を伝え、被害拡大を防ぐことが最優先です。
初動で最初に意識すること
セキュリティ基礎で徹底したい原則は、次の3つです。1
- 隠さない
- 迷って止まらない
- 勝手に処理しない
事故が起きたかもしれないとき、本人は「怒られたくない」「確定してから報告したい」「自分で戻せるかもしれない」と考えがちです。
しかし、その判断待ちの時間が被害を広げることがあります。
どんな場面で初動が必要か
次のような場面では、すぐに報告と初動を考える必要があります。
- 誤送信した
- 共有範囲を誤ったかもしれない
- 不審なURLや添付を開いた
- 端末や紙資料をなくした
- 身に覚えのない認証要求や不審操作に気付いた
- 機密情報を誤って外部サービスへ入力した
「本当に事故か分からない」段階でも、疑いがあるなら動くべきです。
初動で伝えるべきこと
報告するときは、次の情報を簡潔に整理できると、その後の対応が早くなります。
- いつ起きたか
- 何をしたか、何が起きたか
- どの端末、どのシステム、どのデータが関係するか
- 誰に送ったか、誰が見られる状態か
- 自分がすでに何をしたか
重要なのは、長くきれいに説明することではなく、事実を早く伝えることです。
勝手にやらない方がよいこと
初動では、善意の自己判断がかえって問題になることがあります。1
たとえば、次のような行動は注意が必要です。
- 証拠を消す
- 画面を閉じる前に状況を記録しない
- 不審メールへ返信する
- 端末を勝手に再起動する
- 「なかったこと」にしようとして黙る
マルウェア疑い時のネットワーク切断や、共有停止、送信取り消しのような初動も、自社手順に従って行うべきです。
大切なのは、一人で収束させようとしないことです。
場面別の考え方
誤送信したかもしれないとき
相手、内容、添付、送信範囲を確認し、すぐに報告します。
自分だけで取り消しや謝罪だけをして終わらせず、関係者と対応方針をそろえる必要があります。
不審リンクや添付を開いたとき
何を開いたか、どの端末か、その後に何をしたかを整理して報告します。
操作履歴や画面情報は、その後の調査に役立ちます。
端末や資料を紛失したとき
いつ、どこで気付いたか、何が入っていたか、最後に確認した場所はどこかを整理して報告します。
「見つかるかもしれない」と様子見をすると、対応が遅れます。
起こしやすい誤り
確定してから報告しようとする
事故かどうかの確定は、本人が一人で担うものではありません。
疑いの段階で共有した方が、結果的に被害が小さくなります。
自分でなんとか戻そうとする
削除、再送、再起動、相手への直接連絡だけで終わらせると、証拠や対応方針が揃わないまま進んでしまいます。
報告内容を整えすぎようとする
初動で必要なのは、完璧な報告書ではなく、早い共有です。
事実ベースで短く伝えれば十分です。
日常で意識したい原則
- 事故の疑いがある時点で報告する
- 事実を短く整理して伝える
- 勝手に削除、再起動、返信をしない
- 自社の初動手順を平時に確認しておく
ミニ確認
- 初動で最優先すべきことは何か
- 「確定してから報告」が危険なのはなぜか
- 初動で伝えるべき情報には何があるか
- 善意でも勝手にやらない方がよい行動には何があるか