事前に知っておきたい、サイバー攻撃を受けた後の流れについて

公開日:2025年3月14日

サイバーリスク

サイバー攻撃の事例については、さまざまなメディアで報道されており、皆さんの目に触れる機会が多数あるかと思いますが、サイバー攻撃を受けた際の対策について、どのように対応していけばよいか、自信をもって回答できる方はどれだけいらっしゃいますでしょうか。

また、サイバー攻撃を受けた後、どのくらい通常外の業務が続き、何をしなければいけないのか。そして通常業務に戻れるのに、どのくらいの時間がかかるのかについて、ご興味がある方も多いのではないでしょうか。

そこで、サイバー攻撃を受けた企業が、サイバー攻撃を受けた後に取り組むことを中心に、サイバー攻撃の被害を外部に公表し、通常業務に戻れるようになるまでの一般的な流れについて、順序ごとに取りまとめました。

サイバーリスクの
ソリューションを見る

異常検知と問題個所の切り分け

サイバー攻撃が疑われる場合、「まずは警察に連絡では？」と思われる方も多いのですが、その前に必要なものが、異常検知と問題個所の切り分けです。

異常検知

攻撃されたことが分かりやすい、メールやホームページへのアクセスを起因とした攻撃を除くと、攻撃対象となるIT資産が多数におよぶこと、および、サイバー攻撃の手段が多様化・高度化しているため、ITスキルの無いユーザーが攻撃を受けているのかどうかを判断することは、簡単ではありません。

そこで、普段使用しているシステムが意図と異なる挙動になった場合等、システムの利用者目線でシステムに違和感を覚えた際は、すぐにITシステムの管理部門に連絡を取り、ログの履歴を確認してもらうようにしましょう。

また、ITシステムの管理部門は、平時から導入しているセキュリティソフトの脆弱性について常に把握しておくことや、自社のIT資産の安全性について継続的に調査できるASMツールのようなツールを導入しておくことで、異常検知がしやすい態勢を構築しましょう。

ASMの概要や必要性、脆弱性診断との違いや活用メリット等について解説しています。

問題個所の切り分け

自社のシステム内に入り込んでしまったウイルスを完全に削除するには一定の時間がかかります。その一方で、時間が経過するに伴い、ウイルスが社内システムを経由して、他の端末などに広がってしまうリスクが高まってしまいます。

その上、近年では、セキュリティ管理が甘い会社のIT資産を攻撃し、ファイルサーバ等、会社同士を結ぶ通信を通して、セキュリティ管理がしっかりしている会社にも攻撃を仕掛ける事例が散発しています。そのため、ウイルス感染した機器については、なるべく早く社内のネットワークから隔離し、二次、三次被害を起こさないように努めましょう。また、調査を行うにあたり、ログの解析が必要になるため、慌てて電源を切ることは無いようにしましょう。

【関連記事】

サイバー攻撃の種類21選！被害事例と対策を詳しく解説

サイバー攻撃の主な種類と対策について詳しく解説しています。

専門家への問い合わせと影響範囲の確定

被害が拡大しないような対策を取った上で、外部の専門家への問い合わせを開始します。この際に、普段から付き合いのあるITベンダーに作業を依頼する、または、専門業者に依頼する、というのが一般的ですが、サイバー攻撃を受けた後は、自社のメールサーバ等が使用できない可能性があります。

そのため、平常時にサイバー攻撃を受けた場合に備えた訓練を社内で実施することや、取引先のITベンダーとのメール以外での連絡手段を用意するなど、対策を進めておきましょう。また、攻撃を受けた後に、サイバー攻撃対策専門業者に支援を相談することも可能ですが、時間が限られる中、各業者の実績等を踏まえた選定ができない場合もあるため、事前に専門業者を調査・選定するようにしておきましょう。

そして、外部の専門家を選んだ上で、本格的な影響範囲の調査を開始します。影響範囲の調査を進める期間中は、外部の専門家が、具体的な調査やウイルスの削除の作業を行いつつ、ITシステムの管理部門は、影響を受けていない自社ITシステムの早期利用開始に向けた作業や、攻撃を受けたIT資産を使っている作業者への連絡等、会社運営に関わる部分を進める事例が多く見受けられます。

【関連記事】

標的型攻撃メールの特徴と事例、具体的な対策を解説

標的型攻撃メールの特徴や対応方法等について解説しています。

影響のある関係者や当局への連絡

影響範囲が明確に分かった後に、影響を与えてしまった取引先やお客さまに対して、サイバー攻撃を受けていることおよび、それに伴い、事業運営に影響が出ていることを連絡します。

事前に対外発表することで、問い合わせの数を減らせるのではないか、と考えてしまいがちですが、事前に影響を与えた可能性がある取引先やお客さまに連絡を行うことが、問い合わせ数を減らすことに繋がるため、先ずは個別連絡を優先します。

また、並行して警察への届け出および、個人情報等の機微情報の漏洩が確認された場合は、個人情報保護委員会を始めとした当局への連絡を実施し、指示に従うようにしてください。

特に、個人情報保護委員会への連絡は、サイバー攻撃を受けたと認識をした直後（発覚から3~5日以内）に速報連絡をした上で、サイバー攻撃の詳細について確認が取れた段階（発覚から60日以内）で、確報をすることが必要と期限が決められているため注意が必要です。

【関連記事】

個人情報漏えい件数が最多、個人情報保護委員会が報告

個人情報の流出件数や要因について解説しています。

対外発表、完全復旧に向けた施策を含んだ最終報告書の作成

サイバー攻撃についての詳細を把握し、影響を受けた取引先やお客さまへの連絡が終わった段階で、対外発表を行います。その際に、完全復旧に向けた策まで準備をする事例は少なく、当座の取組について、発表できるとよいでしょう。

その後、必要に応じて追加の対外発表を行いつつ、完全復旧に向けた施策を含んだ最終報告書を作成していきます。最終報告書では、今後のITセキュリティについて全社で考える機会になる上、再び被害を受けないようにするために必要に応じて、外部の有識者の意見を踏まえた十分な議論を進めるようにしましょう。

サイバー攻撃の手法や規模にもよりますが、攻撃を受けた後、最終報告書を取りまとめるまで、多くの事例で2~3か月程度かかっています。

まとめ

上記の流れは、必ずしもすべての企業に該当するわけではありませんが、多くの企業が、数日から数週間といった短期間で取り組む流れになります。

近年、BCP（事業継続計画）を策定する企業が増える中、サイバー攻撃を受けた場合についてもBCPを検討する必要性があります。IT企業のみならず、ITツールを用いる全ての企業にとっては、協力会社を巻き込んだBCPがもしもの時の対策に繋がるため、この機会にITセキュリティについてご検討ください。