【Vol.13】その時、誰が「回線を抜け」と命令するのか？：有事の決断を迷わせない「仮想CSIRT」と机上訓練シナリオ

～ 午前3時の電話、あなたは冷静でいられるか？～

金曜日の深夜3時。あなたの携帯電話が鳴り響きます。
EDRのアラート通知。「ランサムウェア検知。複数台のサーバーで暗号化が進行中」。

血の気が引くのを感じながら、あなたはPCを開きます。被害は拡大しているように見えます。
今すぐ工場のネットワークを物理的に遮断しなければ、全ラインが感染するかもしれない。しかし、回線を抜けば工場の生産は停止し、数千万円の損害が出る。
社長は寝ている。工場長には連絡がつかない。

「……俺が止めていいのか？ もし誤検知だったら、誰が責任を取るんだ？」

この迷いが生じた数十分の間に、ランサムウェアは全システムを制圧します。
技術的な対策（EDRやバックアップ）があっても、「誰が止めるか（意思決定）」が決まっていなければ、組織は死にます。

本稿では、ランサムウェア対策の教訓に基づき、ひとり情シスでも構築可能な「仮想CSIRT」の作り方と、経営陣を巻き込んで「決断の迷い」をなくすための机上訓練について解説します。

1. CSIRTは「部署」ではなく「消防団」である

専任のエキスパートなんて雇えない

「CSIRT（シーサート）」と聞くと、高度なセキュリティ専門家が集まる常設部署をイメージするかもしれません。しかし、中堅企業にそんなリソースはありません。

ZTR-Labが推奨するのは、既存メンバーによる「消防団（タスクフォース）」方式です。
普段は情シス、総務、広報、経営企画として働いているメンバーが、インシデント発生時だけ「CSIRT」の帽子を被り、所定の役割を果たします。

重要なのは「専門スキル」ではありません。「有事の際に、誰が何を担当するか」という役割分担図（体制図）が、引き出しに入っているかどうかです。

2. 究極の問い：「身代金は払うのか？」

「感染してから議論」では遅すぎる

もし犯人から「3億円払わなければデータを公開する」と脅迫されたら、あなたの会社は払いますか？

警察やガイドラインは「払うな」と言います。しかし、バックアップも破壊され、このままでは会社が倒産するという状況でも、その正論を貫けるでしょうか？
過去の事例には、身代金を支払うことの法的リスクや、「支払ってもデータが完全に戻る保証はない（破損や再恐喝のリスク）」といった厳しい現実があります。

この重い議論を、混乱の最中に行うことは不可能です。
平時のうちに、経営陣と顧問弁護士を交えて、「基本方針（絶対に払わないのか、状況によっては検討するのか）」を決めておく必要があります。これもCSIRT構築の重要なプロセスです。

3. 「回線を抜く権限」の委譲

「疑わしきは止める」ための免責

ランサムウェア対応は時間との勝負です。深夜や休日に、社長の承認印をもらっている暇はありません。

情シス責任者が最も恐れるのは、「自己判断でシステムを止めて、それが誤検知だった場合に責められること」です。この恐怖が初動を遅らせます。

したがって、以下のルールを社長承認で文書化（明文化）してください。

この「お墨付き」があって初めて、情シスは迷いなく回線を抜くことができます。

4. マニュアルは読まれない。「机上訓練」で体に覚えさせる

年に一度の「避難訓練」

立派な対応マニュアルを作っても、有事の際にそれを読んでいる時間はありません。
必要なのは、「机上訓練（テーブルトップ・エクササイズ）」です。

年に1回、経営陣とCSIRTメンバーを会議室に集め、シナリオを読み上げながらシミュレーションを行います。
「金曜日の17時、感染発覚。社長は出張中。どうする？」

やってみると、驚くほどボロが出ます。
「広報担当の連絡先が古い」「弁護士と夜間に連絡がつかない」「サイバー保険の証券番号がどこにあるかわからない」。
この「不備を見つけること」こそが、訓練の最大の成果です。本番で慌てないために、失敗を練習しておくのです。

結論：「想定外」を「想定内」にする準備

事故は必ず起きます。「ウチは大丈夫」という根拠のない自信は捨ててください。
その時、組織を守れるのは、最新鋭のセキュリティ製品ではなく、泥臭い「連絡網」と、迷いのない「決断力」です。

情シス責任者の皆さん。
次の経営会議で、「防災訓練と同じように、サイバー攻撃の避難訓練をやりましょう」と提案してください。
それが、あなた自身を孤独な責任論から守り、会社全体の生存率を高めるための、最も賢い防衛策です。