現代のビジネス環境において、情報セキュリティは企業活動の基盤となっています。特にサイバー攻撃は日々進化しており、「防ぐ」だけでなく「対処する」ことの重要性が高まっています。2024年2月に実施された『サイバーセキュリティインシデントに関する消費者意識の実態調査 』（AironWorks株式会社調べ）では、セキュリティインシデント後の企業の対応が企業イメージや製品の利用意向に影響を与えるとする回答の割合が全体の約88％に達していました。

組織がサイバー攻撃に効果的に対処するためには、事前に明確な対応計画を立てることが不可欠です。そこで重要なツールが「サイバーセキュリティプレイブック」です。本記事では、サイバーセキュリティプレイブックの意義と具体的な作成方法について解説します。

「サイバーセキュリティプレイブック」とは？　なぜ現代の企業に求められるのか

「サイバーセキュリティプレイブック」とは、組織がサイバーインシデントに対応する活動（インシデントレスポンス：IR）の内容を文書化した手順書です。主に、セキュリティインシデント対応の専門チームであるCSIRTや企業のセキュリティ環境を監視し、インシデント発生直後の対応にも携わるSOCなどにより活用されることを想定しています。 サイバーセキュリティプレイブックで重要なのが、セキュリティインシデントの「対応シナリオ」という考え方です。サイバー攻撃が複雑さと頻度を増す中で、その対応に必要な知識量も膨大に増え、社内のセキュリティ担当者が対応する際に苦労することが多いのです。

適切なプレイブックがあれば、インシデントが発生した際に担当者が迅速かつ一貫した方法で対応でき、不確実性が軽減され被害の拡大を最小限に抑える環境が整います。

近年はサイバーインシデント対応にも、SOAR（Security Orchestration Automation and Response）などの自動化ツールが導入される傾向にあります。SOARの構築にあたってサイバーセキュリティプレイブックはベースとなり、その内容に基づいてプロトコルが設定され自動的なインシデントへの対処が実現されます。プレイブックによる明確なガイドラインとSOARによる自動化・統合された対応は、セキュリティチームがより戦略的なタスクに集中できる環境を実現し、最終的には組織のセキュリティ体制全体の強化に寄与するでしょう。

SOARやオーケストレーションについて詳しくは、下記記事をご参照ください。
・サイバーセキュリティ自動化の実現方法とAIの可能性
・オーケストレーションとは？　単なる自動化と何が違うのか

サイバーセキュリティブックの基本構成と作り方

サイバーセキュリティブックの基本構成と作り方を見ていきましょう。

そのよく見られる基本構成は、以下の通りです。

1.脅威の識別と評価：インシデント発生時の分類やトリアージ（優先順位）
2.ケース別対応プロトコル：インシデントの種類ごとの対応手順、具体的なツール、フロー図
3.役割と責任：インシデント対応にかかわる各スタッフの役割や責任、連絡先
4.インシデント対応のコミュニケーションプラン：内外のステークホルダーとの情報共有・開示の方法・タイミング
5.復旧計画：インシデント後のシステムの復旧・事業継続の手順、バックアップ、データ復元プロセス
6.法的対応：法的要件とコンプライアンスを考慮した対応策、法的助言を求めるプロセス
7.教育と訓練：プレイブックの効力を発揮させるための教育や演習方法
8.文章の維持と更新：プレイブックを最新の状態に保つための定期的なレビューと改善のルール

サイバーセキュリティプレイブックは平常時のように対応できないインシデント発生時を想定し、事前に必要な対応や担当者、判断基準を定めておくことでリスクを最小限に抑えることを目的としています。そのため、独立行政法人情報処理推進機構（IPA）やJPCERT/CCなどさまざまな団体が公表しているインシデント対応のガイドラインを参考にしながらも、自社のIT環境や業態、組織構成などに合わせて具体化し、対応のパターンをフロー図や表などで平準化・可視化するのが基本となります。

【情報流出の通報を受けた際の対応フロー図の例（一部）】

また、冒頭で触れたようなインシデント対応時の企業の印象を左右する要素として、適切な情報開示とステークホルダーとのコミュニケーションプランは重要な役割を占めます。

対応フローと紐付け、情報共有の流れについても明確にしておくとともに、問い合わせ窓口などを設置して顧客や消費者の声をどのように受け止めるかなどについても定めておきましょう。その際、『サイバーセキュリティ対策情報開示の手引き』（総務省）などの資料も、情報開示のポイントや具体的な記載例を知るにあたって役立ちます。

ケーススタディで見る、サイバーセキュリティプレイブックの使い方

実際にインシデントが発生した際、サイバーセキュリティプレイブックをどのように用いればよいのか、具体的なケーススタディで見ていきましょう。

ある中規模の企業がランサムウエア攻撃に遭遇した場合 フィッシングメールを通じた標的型攻撃により企業のネットワークに侵入されランサムウエア攻撃を受けたケースです。顧客情報、取引データ、社内文書などの重要なデータが暗号化され、データの解放と引き換えに身代金の要求を受けました。

【プレイブックの役割】

●初動対応

プレイブックにはランサムウエアの検出があった場合の初動対応が明確に記述されています。この企業では、セキュリティシステムが異常を検出した瞬間にアラートが発され、ITチームはすぐにネットワーク管理ツールを用いて問題のあるセグメントを切り離し、リモートコマンドでサーバーを停止しました。

●関係各所への通報・対処依頼

プレイブックには、内部の関係者や外部の専門家（法執行機関、セキュリティ会社）への通報手順が記載されています。今回は、CISO（最高情報セキュリティ責任者）が迅速に経営陣、法務部、広報部門とコミュニケーションを取り、プレイブックに従って対処を依頼しました。

●データ復旧と事業継続

プレイブックはデータバックアップと復旧プロセスを定めています。攻撃によりデータが失われた場合のために、定期的なバックアップが行われており、この企業も最新のバックアップから重要データの復旧が可能でした。

●事後分析と報告

インシデント後には、事例の詳細な分析がプレイブックに従って行われ、どのセキュリティ対策が有効だったか、どの対策に改善が必要か、などが検証されました。また、経験から学んだ教訓（従業員へのフィッシング対策研修の強化、バックアップサイクルの短縮など）をプレイブックに反映させることで、今後の対策を強化しました。

本ケースでは、ランサムウエア攻撃に対しプレイブックを活用して迅速な対応を実施し、被害を最小限に抑えることができました。初動対応や通報手順について事前に明確化されているため、混乱の中でも適切に担当者や専門機関との連携が行われました。また、定期的なバックアップやデータ復旧プロセスの準備が、事業継続における即応性を支えていることが見て取れます

「サイバーセキュリティプレイブック」は単なる手引書ではなく、スピード感を持って使われることに意味がある

増加・巧妙化するサイバー攻撃に対して企業が組織的かつ計画的に対応するために不可欠なツール「サイバーセキュリティプレイブック」についてご紹介しました。プレイブックは単なる手引書ではなく、インシデントに対処する際スピード感を持って使われることに重きが置かれています。インシデント発生時の対応を整理するためにも、自社でプレイブックを作成し、定期的に見直すことに取り組みましょう。