メインコンテンツまでスキップ

【メモ】ランサム演習シナリオA

このシナリオの狙い

本メモは、外部公開Webの侵害を起点に、内部横展開を経てランサム被害に至るまでを、 SOC/CSIRT/運用/経営が一体で判断するための演習台本です。 キーポイントは「防御側は最初を見ていない」前提で、検知から意思決定を始めることです。1

演習の到達目標は次の3点です。

  • 初動30分以内に暫定インシデント宣言と封じ込め案を複数提示する
  • 2時間以内に影響範囲の仮説と止血点(ID/端末/サーバ/セグメント)を特定する
  • 復旧優先順位と対外説明トリガーを整理し、経営判断に必要な材料を提示する

想定環境と攻撃者ゴール

最小構成は、外部公開Web(Linux/Nginx/アプリ)、内部AD DS、ファイルサーバ、仮想基盤、 EDR/SIEM/WAF/Proxy、日次バックアップです。 演習上の弱点として、特権ID運用が厳格ではない設定を置きます。

攻撃者ゴールは、横展開後にファイルサーバを暗号化し業務停止を発生させることです。 必要に応じて、二重恐喝(少量の持ち出し痕跡)を追加します。2

キルチェーンとATT&CKの対応

演習の骨格は、サイバーキルチェーンを時系列の軸にしつつ、MITRE ATT&CKで観測ポイントを具体化します。34

  • Recon
    • T1595 Active Scanning
    • T1590 Gather Victim Network Information(任意)
  • Deliver/Exploit(外部公開Web侵入)
    • T1190 Exploit Public-Facing Application
    • T1059 Command and Scripting Interpreter
  • Install/Persistence(足場確保)
    • T1505.003 Server Software Component: Web Shell
    • T1070 Indicator Removal
  • C2
    • T1071.001 Web Protocols
    • T1041 Exfiltration Over C2 Channel(任意)
  • Lateral Movement/Privilege Escalation
    • T1003 OS Credential Dumping
    • T1021.001 Remote Services: RDP
    • T1021.002 Remote Services: SMB/Windows Admin Shares
  • Actions on Objectives(ランサム)
    • T1486 Data Encrypted for Impact
    • T1490 Inhibit System Recovery

進行設計(段階的な状況付与)

Phase 1(0〜30分)初動検知

SIEM/WAFで「異常文字列を含む大量リクエスト」「一部BlockだがAllow残存」「Web負荷上昇」を付与します。

参加者への問い:

  • 監視強化で様子見か、暫定インシデント宣言か
  • 最初に確保するログは何か(WAF/Web/アプリ/監査)
  • 封じ込め案を2案以上(WAF強化/公開停止/IP遮断など)

期待アウトプット:

  • 初動メモ(何が起きたか、確度、直近意思決定、次確認)
  • タイムライン開始

Phase 2(30〜60分)侵入成立と足場確保

EDRで「Nginx配下でbash起動、curl外向き通信試行」を付与します。 WAF Allow時刻との一致も追加し、侵入成立の判断を迫ります。

参加者への問い:

  • 隔離/公開停止/ログ採取の優先順位
  • 証跡保全の順序(再起動禁止、メモリ、ディスク、ログ、スナップショット)
  • Egress制御をどこで掛けるか(FW/Proxy)

期待アウトプット:

  • 封じ込め計画(即時0〜15分、短期〜2時間、中期)

Phase 3(60〜120分)横展開

SIEM相関で「Webサーバ起点のSMB急増」「サービスアカウント異常ログオン」「ファイルサーバアクセス増」を付与します。 続けて「管理者グループ追加試行(成功/失敗混在)」「同一アカウントの多端末ログオン試行」を投入します。

参加者への問い:

  • DMZ→内部の遮断を即断するか
  • 該当アカウント停止や共有停止の範囲をどう決めるか
  • 侵害範囲特定の切り口(起点ホスト/認証情報/セグメント/管理者グループ変更)

期待アウトプット:

  • 影響範囲仮説図(起点、疑わしいID、疑わしい到達先)
  • 止血線(ネットワーク/ID/共有)の明文化

Phase 4(120〜180分)暗号化と業務影響

ファイルサーバで「短時間大量更新・拡張子変更」、ユーザから「開けない」申告急増、 EDRで暗号化挙動を付与します。 必要なら二重恐喝の兆候(深夜アップロードログ、身代金メモ)を追加します。

参加者への問い:

  • いま止血する手段の優先順位(共有停止/サーバ切断/セグメント遮断/端末隔離)
  • バックアップ復旧前提(汚染可能性、復旧時間、優先順)
  • 経営に何を報告し、何を意思決定してもらうか

期待アウトプット:

  • 経営向け1枚メモ(現状、確度、影響、意思決定2〜3点、推奨案)

Phase 5(180分〜)収束・復旧・報告

暗号化停止後も侵入経路未確定、Web改変痕跡あり、ログ欠損可能性ありを付与します。

参加者への問い:

  • 今日中にやる再侵入防止策(緊急パッチ、WAF強化、DMZ経路見直し、特権ID棚卸し)
  • 最終報告の骨子(原因、影響、検知、対応、復旧、恒久対策)

期待アウトプット:

  • 最終報告アウトライン
  • 優先度付き改善バックログ

演習を盛り上げる分岐

運営側は次の3分岐を持っておくと、現場の意思決定力を引き出しやすくなります。

  • 分岐A: 初動で公開停止するか(拡大抑制 vs 事業影響)
  • 分岐B: DMZ→内部遮断を即断できるか(横展開抑制 vs 遅延リスク)
  • 分岐C: 共有停止を全停止か部分停止か(止血強度 vs 業務継続)

事前準備チェックリスト

最低限、以下の模擬素材を事前に用意します。

  • WAFログ抜粋(10行)
  • Webアクセスログ抜粋(10行)
  • EDRアラート要約(1枚)
  • AD監査ログ要約(5行)
  • ファイルサーバ異常通知文(1枚)
  • 身代金メモ(テキスト)
  • 経営向け状況報告テンプレ(1枚)

併せて、評価観点を明文化しておくと振り返りが深まります。

  • 宣言判断の速さと根拠
  • 封じ込め選択理由(業務影響を含む)
  • 証跡保全の妥当性
  • 影響範囲特定の切り口
  • 復旧優先順位の妥当性
  • 対外説明判断の整理
  • 恒久対策の具体性

演習開始アナウンス(読み上げ用)

「現在、SOCにて外部公開Webへの異常アクセスが検知されています。WAFは一部遮断していますが、通過したログもあります。サーバ負荷が上昇しており、侵入の可能性があります。現時点で確定情報は少ない前提で、初動の意思決定と、封じ込め、証跡保全、影響評価を進めてください。」

インシデント最終報告書(想定解)

長文のため、スクロール表示で添付します。 実運用では、下記テンプレートを実ログ・事実に置換して利用してください。

最終報告書(全文テンプレート)


インシデント最終報告書(想定解)
(演習A:外部公開Web侵入→横展開→ランサム)
※演習用の「記載例」です。
 実運用では事実・ログ根拠に置換してください。

文書情報
・文書名:インシデント最終報告書(外部公開Web侵入、横展開、ランサム)
・作成日:2026-02-21
・版数:v1.0(演習想定解)
・作成部署:CSIRT
・承認者:CISO(想定)
・配布範囲:経営層、IT運用、SOC、アプリ運用、リスク管理、法務、広報
・機密区分:社外秘(演習資料)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. エグゼクティブサマリー(1ページ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.1 概要(3行)
・何が起きたか:外部公開Webサーバが攻撃を受け、侵害成立後に内部ネットワークへ横展開し、
 ファイルサーバ上の共有データの一部が暗号化され、業務停止が発生した。
・いつ起きたか(初検知、封じ込め、収束):初検知 02:10、
 インシデント宣言 02:35、封じ込め(公開停止/遮断/共有停止) 03:20〜03:45、
 暗号化停止確認 04:05、復旧開始 05:30、主要業務復旧 16:00(同日)。
・現時点の結論(確度付き):侵入起点は外部公開Webアプリへの攻撃(高確度)、
 侵害端末/アカウントを介した横展開で暗号化に至った(高確度)。
 機密情報の外部持ち出しは確認できず(中確度)、
 ただし一部ログ欠損があり否定はできない(残存リスクあり)。

1.2 影響(確度を明記)
・業務影響(確定):
 ファイル共有(部門共有)停止 03:35〜11:00、
 一部部門で業務停止(申請処理/資料参照)、
 外部公開Web停止 02:40〜10:30。
・情報影響(推定):
 暗号化対象は部門共有領域の一部(確定)、
 個人情報を含むファイルの暗号化可能性あり(中)、
 外部漏えいは確証なし(中)、
 否定できない理由:Egressログの粒度不足/一部ログ欠損(事実)。
・システム影響(確定):
 暗号化対象:
 ファイルサーバ共有領域(約XX万ファイル中、
 約X%が更新/拡張子変更)、
 EDR隔離端末:12台、
 侵害疑いサーバ:Web 1台、
 横展開到達疑いサーバ:3台。

1.3 実施した対処(要点)
・封じ込め:
 外部公開Web停止、
 Webサーバ隔離(証跡保全後)、
 DMZ→内部の例外経路遮断、
 疑わしいサービスアカウントのパスワード変更とセッション失効、
 ファイル共有停止、
 感染端末の隔離。
・根絶:
 Webサーバ再構築、
 脆弱機能の停止/パッチ適用、
 WAF仮想パッチ導入、
 特権/サービスアカウント棚卸しとローテーション、
 横展開経路の恒久閉塞。
・復旧:
 バックアップ健全性確認後に共有領域を段階復旧、
 重要共有→部門共有→周辺システムの順に復元、
 復旧後に監視強化を維持。

1.4 次の意思決定事項(経営向け)
・追加投資/体制(提案):
 (1) 外部公開Webの脆弱性管理(定期DAST、SCA、緊急パッチ手順の整備)、
 (2) バックアップの不変化/分離(イミュータブル、隔離ネットワーク)、
 (3) 特権ID運用強化(PAW/JIT)、
 (4) DMZ→内部例外経路の統制(例外申請/棚卸し)。
・対外対応(判断):
 本演習では外部漏えい確証がなく、
 対外公表は実施しない想定。
 実運用では漏えい確度が「中→高」に上がった時点で、
 法務/個情主導で届出/通知要否を再判定する。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2. 事実関係(タイムライン)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.1 タイムライン(記載例)
・02:10
 WAF/SIEMが外部公開Webへの異常アクセスを検知
 (短時間大量リクエスト、Block/Allow混在)
 → SOC L1がL2へエスカレーション
 (確度:推定)
・02:25
 Webサーバ負荷上昇を監視で確認
 → アプリ運用へ連絡(確度:確定)
・02:35
 EDRがWebサーバで不審プロセス(nginx→bash→curl)を検知
 → CSIRTがインシデント宣言、公開停止判断(確度:確定)
・02:40
 外部公開Webを停止(緊急メンテ表示)
 → Webサーバ再起動禁止、
 ログ退避開始(確度:確定)
・02:55
 DMZ→内部の例外経路を遮断(NW制御)(確度:確定)
・03:05
 SIEM相関でWebサーバ起点のSMB接続急増を検知、
 サービスアカウントの異常ログオンを確認(確度:確定)
・03:20
 疑わしいサービスアカウントのセッション失効、パスワード変更(確度:確定)
・03:35
 ファイルサーバで大量更新/拡張子変更が検知、
 ユーザ問い合わせ急増
 → 共有停止を決定(確度:確定)
・03:45
 ファイル共有を停止、
 EDRで感染疑い端末を隔離開始(確度:確定)
・04:05
 暗号化の進行停止を確認(更新スパイク収束)(確度:確定)
・05:30
 バックアップ健全性確認完了、
 復旧計画を確定し復旧開始(確度:確定)
・10:30
 外部公開Webを再構築サーバで暫定復旧(確度:確定)
・16:00
 主要共有領域の復旧完了、
 業務再開(確度:確定)

2.2 初動検知の内容(要約)
・アラート概要:
 外部公開Webへのスキャン/Exploit試行と思われるアクセスが増加。
 EDRで侵害成立を示唆する実行痕跡を検知。
・相関分析結果:
 WAF Allowログの時刻と、
 EDRの不審プロセス生成が近接。
 その後、
 Webサーバ起点で内部SMB接続が急増し、
 横展開の兆候を確認。
・誤検知可能性と否定理由:
 単なるスキャンでは説明できない、
 Webプロセス起点のOSコマンド実行と外向き通信、
 および内部SMB急増が同時に観測されたため、
 侵害成立の可能性が高いと判断した。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3. 侵害範囲(スコープ)と根拠
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.1 侵害が疑われた資産一覧(記載例)
・外部公開Web:
 www.example.jp(Webサーバ1台)
・内部サーバ:
 FS-01(ファイルサーバ)、
 APP-02(業務アプリ補助)、
 MGMT-01(管理系踏み台:到達疑い)
・端末:
 EDR隔離 12台(うち暗号化挙動 7台)
・アカウント:
 svc-file(サービスアカウント:不審ログオン)、
 adm-ops(特権:グループ追加試行の痕跡)

3.2 侵害の判定根拠(ログ根拠)
・WAF/アクセスログ:
 短時間大量アクセス、
 特定パラメータへの攻撃文字列、
 一部Allow通過。
・EDR(Webサーバ):
 nginxプロセスからbash起動、
 curl外向き通信、
 不審ファイル生成(Webシェル相当の疑い)。
・AD:
 通常と異なる発生元(Webサーバ側)からの認証活動、
 サービスアカウントの異常ログオン、
 管理者グループ追加試行(成功/失敗混在)。
・ファイルサーバ:
 大量ファイル更新、拡張子変更、アクセス集中。

3.3 影響評価
・暗号化されたデータ範囲(確定):
 部門共有領域の一部。
 重要共有領域は共有停止が間に合い被害軽微。
・復旧対象(確定):
 暗号化領域のリストア、
 影響端末の再イメージ、
 Webサーバ再構築。
・漏えい可能性(評価基準と結論)
 評価基準:
 (1) 大容量外向き通信の有無、
 (2) 機密探索の痕跡(大量閲覧/圧縮)、
 (3) C2経由の送信の有無、
 (4) DLP/Proxyログの確度。
 結論:
 漏えいの確証なし(中確度)。
 否定不能の根拠:
 Egress監視の粒度不足、
 一部ログ欠損の可能性。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4. 原因分析(暫定→確定の流れ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4.1 侵入経路(仮説と根拠)
・候補1:公開Webアプリ脆弱性悪用(高確度)
 根拠:
 WAFでExploitパターン、
 EDRでWebプロセス起点のOSコマンド実行、
 外向き通信、
 不審ファイル生成。
・候補2:認証情報侵害(中)
 根拠:
 サービスアカウントの不審ログオンが観測されたが、
 起点はWeb侵害後の横展開で説明可能。
 初期侵入としての根拠は弱い。

4.2 攻撃者の行動(ATT&CK観点:想定記載例)
・Initial Access:
 T1190 Exploit Public-Facing Application(WAF/EDRで兆候)
・Execution:
 T1059 Command and Scripting Interpreter(EDRで検知)
・Persistence:
 T1505.003 Web Shell(相当)
 (ファイル痕跡あり、確度中)
・Defense Evasion:
 T1070 Indicator Removal(疑い)
 (ログ欠損疑いがあるが確証なし)
・Credential Access:
 T1003 OS Credential Dumping(疑い)
 (横展開前後の兆候、確度中)
・Lateral Movement:
 T1021.002 SMB/Windows Admin Shares(SIEMで確定)
・Impact:
 T1486 Data Encrypted for Impact
 (ファイルサーバ挙動で確定)
 T1490 Inhibit System Recovery(未確認)
 (シャドウコピー削除の確証なし)

4.3 検知できた点、
できなかった点
・検知できた:
 外部公開Webへの異常アクセス、
 Webサーバ上の不審実行、
 Webサーバ起点のSMB横展開、
 暗号化挙動(ファイル更新スパイク)。
・遅れた:
 サービスアカウントの異常ログオンの確定までに時間を要した。
・見逃した可能性:
 侵害直後の永続化(Webシェル)の確定は不十分。
・ログ欠損の有無:
 一部期間のアプリログに欠損の可能性(調査継続課題)。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5. 対応の詳細(封じ込め、根絶、復旧)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5.1 封じ込め(いつ、何を、なぜ)
・実施内容(要約):
 外部公開Web停止、
 Webサーバ隔離、
 DMZ→内部遮断、
 疑わしいアカウントのセッション失効とPW変更、
 共有停止、
 感染端末隔離。
・意思決定者:
 CSIRT統括(封じ込め)、
 経営層(共有停止の業務影響容認)
・業務影響とトレードオフ:
 共有停止は業務影響大だが、
 暗号化拡大を止める効果が高く、
 復旧コストの爆発を回避できるため実施。

5.2 根絶(攻撃者排除)
・Webサーバ対応:
 証跡保全後に再構築。
 脆弱機能の停止、
 関連パッケージ/アプリのパッチ適用、
 WAF仮想パッチ導入。
・アカウント対応:
 サービス/特権アカウント棚卸し、
 PWローテーション、
 不要権限の削除、
 ログオン制限。
・端末対応:
 隔離→再イメージ、
 復旧後の監視強化。
・ネットワーク対応:
 DMZ→内部の例外経路を恒久閉塞、
 Egress制御の強化計画を策定。

5.3 復旧
・復旧優先順位:
 (1) 重要共有、
 (2) 部門共有(被害領域)、
 (3) 周辺補助サーバ、
 (4) 端末。
・バックアップ健全性確認:
 復旧前にバックアップ時点のマルウェア汚染可能性を点検、
 復旧環境でスキャン実施。
・復旧結果:
 主要共有領域を同日復旧、
 外部公開Webは再構築により復旧。
・残存リスク:
 侵入直後の永続化の確定不足、
 漏えい否定不能、
 同種攻撃の再発リスク(WAF/脆弱性管理の強化が必要)。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
6. コミュニケーション、エスカレーション、対外対応
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
6.1 内部連絡(誰に、いつ、何を)
・SOC→CSIRT:
 EDRの侵害兆候検知時点で即時エスカレーション、
 インシデント宣言の根拠共有。
・CSIRT→経営:
 横展開兆候と暗号化兆候の時点で、
 共有停止の判断材料(影響/効果/代替案)を提示。
・IT/アプリ→関係部門:
 外部公開Web停止の周知、
 共有停止による業務影響の通知。

6.2 対外対応判断
・顧客影響:
 外部公開Web停止による機会損失が主。
 個別顧客への通知は本演習では不要想定。
・個人情報:
 暗号化対象に含まれる可能性があるため、
 実運用では漏えい評価を継続し、
 確度上昇時に届出/通知を再判定。
・委託先/契約:
 SLAや障害報告義務がある場合は個別判断。
・届出/報告:
 本演習では確証なしのため未実施想定。

6.3 公表/問い合わせ対応(想定)
・統一回答(FAQ骨子):
 「現在調査中、
 サービスの一部停止、
 復旧対応中、
 安全確保を最優先」
・誤情報防止の統制:
 対外窓口を広報に一本化、
 内部向け周知文面を固定。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
7. 恒久対策(再発防止)と改善計画
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
7.1 技術対策(優先度付き)
(優先:高)
・公開Webの脆弱性管理を制度化:
 定期DAST/SCA、
 緊急パッチ手順、
 公開前セキュリティレビュー。
・WAF運用強化:
 仮想パッチ適用プロセス、
 Allow/Block混在時の即時エスカレーション基準。
・DMZ→内部の例外経路廃止:
 必要なら中継/認証を厳格化し最小到達へ。
・特権ID/サービスアカウント強化:
 棚卸し、最小権限、ログオン制限、PAW/JIT検討。
(優先:中)
・Egress監視/制御の強化:
 外向き通信の可視化、
 DLP/Proxyログの粒度改善。
・バックアップのランサム耐性:
 分離、不変化、復旧演習の定期化。

7.2 運用/プロセス改善
・インシデント宣言基準の明文化、
 当直手順の整備(準インシデント→宣言の線引き)
・共有停止など高影響措置の決裁ルート整備
・証跡保全手順(再起動禁止、スナップショット、ログ退避)を標準化
・例外経路の申請/棚卸しの定期運用

7.3 統制(ガバナンス)
・例外管理の統制:
 DMZ→内部などの例外経路は台帳管理、
 期限付き承認、定期レビュー
・第三者レビュー:
 外部公開Webは年次でペネトレーションテスト、
 重大変更時は都度レビュー
・KPI(例):
 MTTD、
 封じ込め開始までの時間、
 復旧成功率、
 演習指摘の解消率

7.4 改善ロードマップ(記載例)
・即日(〜24h)
 WAFルール強化、
 公開Webの緊急パッチ/機能停止、
 特権/サービスアカウントPWローテ、
 DMZ→内部例外経路の恒久遮断
・短期(〜30d)
 脆弱性管理の定期運用開始(DAST/SCA)、
 ログ収集の欠損対策、
 EDR隔離手順の整備
・中期(〜90d)
 特権ID運用(PAW/JIT)導入検討、
 バックアップ不変化/分離の導入、
 Egress監視強化
・長期(〜180d)
 外部公開WebのSDLC統合(SSDF的統制)、
 定期ペンテスト、
 例外管理の監査組み込み

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8. 付録
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8.1 ログ抜粋一覧(記載例)
・WAFログ(02:05〜02:40)
・Webアクセスログ(02:00〜03:10)
・EDRアラート(02:35)
・AD監査ログ(03:00〜03:30)
・ファイルサーバ監視ログ(03:30〜04:10)

8.2 IOC一覧(演習例)
・外部IP帯:
 203.0.113.0/24(例示)
・疑わしいドメイン:
 cdn-update-example[.]com(例示)
・ハッシュ:
 (演習では省略)

8.3 意思決定記録(要約)
・02:35
 インシデント宣言、
 公開停止判断(CSIRT)
・02:55
 DMZ→内部遮断(CSIRT/IT運用)
・03:35
 共有停止判断(CSIRT、
 経営層が業務影響容認)

8.4 MITRE ATT&CK対応表(抜粋)
・T1190:
 検知:WAF/EDR(部分)
 改善:仮想パッチ、
 DAST、
 緊急パッチ手順
・T1059:
 検知:EDR(あり)
 改善:アラート時隔離手順、
 サーバ強化
・T1021.002:
 検知:SIEM相関(あり)
 改善:DMZ→内部最小化、
 SMB制御
・T1486:
 検知:ファイルサーバ監視/EDR(あり)
 改善:共有停止手順、
 バックアップ不変化、
 復旧演習

別紙:暫定報告(初動〜数時間向け)想定解


別紙:暫定報告(初動〜数時間向け)想定解(記載例)

1. 事象概要
 外部公開Webへの異常アクセス後、
 EDRで侵害兆候を検知。
 内部への横展開兆候があり、
 ファイル共有で暗号化挙動が発生。

2. 現時点の確度
 侵入成立:高、
 横展開:高、
 暗号化:確定、
 漏えい:不明(中)。

3. 影響
 外部公開Web停止、
 ファイル共有停止、
 一部部門で業務停止。

4. 実施済の封じ込め
 公開停止、
 DMZ→内部遮断、
 疑わしいアカウントのセッション失効、
 共有停止、
 感染端末隔離。

5. 直近の計画(次の60分)
 侵害範囲確定(端末/サーバ/アカウント)、
 復旧計画確定(優先順位/バックアップ健全性)、
 追加止血(セグメント遮断の要否)、
 漏えい評価(Egress/Proxy確認)。

6. 経営判断が必要な事項
 共有停止の継続可否、
 復旧優先順位、
 対外説明方針(漏えい確度上昇時の条件)。

7. 連絡状況
 CSIRT招集済、
 IT運用/アプリ運用連携中、
 経営層へ第一報済。

まとめ

このシナリオは、技術論だけでなく、事業影響とトレードオフを伴う判断を訓練する設計です。 特に、(1) 早い宣言、(2) 止血線の明確化、(3) 復旧優先順位と説明責任の整理、の3点を 短時間で回せるかが実戦力の差になります。12

参考資料(出典)

Footnotes

  1. NIST, Computer Security Incident Handling Guide (SP 800-61 Rev.2)。インシデント対応ライフサイクルと初動・分析・封じ込め・復旧の基本指針。https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf 2

  2. CISA, StopRansomware Guide。ランサム対策、初動対応、復旧時の実務ポイントを整理した政府ガイド。https://www.cisa.gov/stopransomware/ransomware-guide 2

  3. Hutchins, Cloppert, Amin, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains(Lockheed Martin, 2011)。サイバーキルチェーンの原典。https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf

  4. MITRE ATT&CK, Enterprise Matrix。戦術・テクニックの共通言語として利用されるナレッジベース。https://attack.mitre.org/matrices/enterprise/

最終更新