インシデント対応は初動が鍵 - 「5W1H」視点で見直すセキュリティ対策

2月25日～27日、オンラインにて開催された「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」。本稿ではその特別講演から、大阪大学 D3センター 教授/CISOの猪俣敦夫氏による「セキュリティインシデント対応における5W1Hとは - 初動が鍵を握る -」の内容を紹介する。同氏はインシデント発生時における初動の重要性を説き、そのカギは「5W1H」にあるという。

サイバー攻撃は「他人事」と思わず「自分事」と考えるべき

大学での講義や研究・指導の傍ら、大阪・関西万博のセキュリティに関する運営にも携わっているという猪俣氏はまず、2月1日から3月18日までが「サイバーセキュリティ月間2025」であることを示したうえで、「内閣サイバーセキュリティセンター（NISC）が公開しているインターネットの安全・安心ハンドブックに目を通してほしい」と呼びかけた。

同氏が在籍する大阪大学は2017年に情報漏えい事故と入試でのミスという大きな事案を起こしており、「事故対応の視点から見ると、大きなミスを犯した」と苦々しく振り返った。

「トップがリーダーシップをとり、組織一丸で事案対応に取り組まないといけません」（猪俣氏）

ところが、普段サイバーセキュリティ事案を目にする機会が多いにもかかわらず、「自分の組織で事故が起きないと、どうしても他人事になってしまいがち」（猪俣氏）になってしまう人も多い。

「他所の事案を、自分事のように扱って考えていくことが非常に大事です」（猪俣氏）

さらに猪俣氏は、サイバー攻撃と言うと、情報漏えいやランサムウェアに目が行きがちだが、「実はDDoS（Distributed Denial of Service）も依然として多い」と話す。実際、航空会社やメガバンクなどのシステムがDDoSと思われる攻撃により停止する事態が度々発生しているが、「身代金目的ではなく、ある種のデモンストレーションなのではないか」と同氏は推測した。

真に守るべきは「資産」ではなく「継続性」

情報は資産であり、集めれば集めるほど自らの価値が高まるとの考え方が一般的だ。しかし、情報が増えるにつれ攻撃者に狙われる危険性も高まるため、「リスクも大きくなる」と猪俣氏は語る。

情報セキュリティの3大要素として、「CIA」という言葉が挙げられることがある。これは、Confidentiality（機密性）、Integrity（完全性）、Availability（可用性）のそれぞれの頭文字を取ったものであり、なかでも機密性が最重要視されてきた。

しかし現在では、この順序を逆にした「AIC」、すなわち可用性が重視されている。これは、BCP（事業継続性）にもつながる考え方だ。そのためには初動が大切であり、そのキーワードとなるのが「5W1H」だと同氏は説いた。

• 

  情報セキュリティの3大要素・CIAとAIC

平時こそ「5W1H」の視点で問題点の洗い出しを

5W1Hとセキュリティ対策の関係性に触れる前に、猪俣氏は従来のインシデント対策における問題点を指摘した。

対応マニュアルには往々にして、ケーブル抜線によるネットワーク切断やシステム/サービスの停止、ログ解析などの原因究明作業が挙げられる。しかし同氏は「自分たちのサービスを止めたら、お客さんが減っていくのではないか」と疑問を投げかけ、復旧計画を事前に考えておく必要があるとした。

「インシデントが起きたからこその事業継続を、きちんと考えなければいけないのです」（猪俣氏)

例えば連絡体制について。システムが止まると、取引先や顧客などとメールでは連絡できなくなり、固定電話または従業員の携帯電話を使うしかなくなる事態が予想される。

「対策マニュアルに載ってないことの方が大きいので、平時に考えておく必要があるのです」（猪俣氏）

そのためには、何が必要なのか。同氏はまず、システムの内容を把握しておくべきだと説く。企業のシステムでは、Webサーバやデータベース、勘定系など、多くのソフトウェアが動作しており、使用しているモジュールやライブラリも多岐に亘る。また、メーカー製品に加えてOSS（オープンソース・ソフトウェア）を使用しているケースも少なくない。猪俣氏はこれらを、例えばSBOM（Software Bill of Materials、ソフトウェア部品表）のような仕組みを用いて平素から把握しておくことが、「事故発生後の初動における動力源になる」と話した。

またセキュリティ対策では、対応マニュアルの整備や情報共有の場づくり、SIRT（セキュリティインシデント対応チーム）の構築とSOC（Security Operation Center）の運用、セキュリティ教育や研修の重要性が説かれることが多いが、同氏はこれらを「やった気にさせてくれる魔法みたいなもの」だと断言した。

そこで猪俣氏が掲げるのが、前述の5W1Hだ。

5W1Hとは、When（いつ）、Where（どこで）、Who（誰が）、 What（何を）、 Why（なぜ）、How（どのように）という英語の授業などで誰しもが聞き覚えのある原則であり、同氏はこれがセキュリティのコミュニケーションにも重要なのだと気付いたという。

セキュリティ対策では「誰が」「何を」するのかをきちんと伝えておく必要がある。しかし、セキュリティの内容を把握していなければ、当然ながらリスクを把握することもできない。そのためには課題の洗い出しが必要だ。

問題点の把握には原因の分析が必要だと語る猪俣氏は、トヨタ自動車の「5W1H思考」を紹介した。これは、例えば工作機械が停止するなど正常に動作しない場合に、直接の原因を見付けて解決するだけではなく、根本の原因にまで深掘りしていくという手法だ。

「このような問題解決、計画立案、情報伝達が、セキュリティ対策にも重要なのです」（猪俣氏)

• 

  5W1Hでの問題点の洗い出し

同氏はさらに、その事例として、自らが調査委員会のメンバーとして携わった、NTT西日本のグループ会社で発生した情報漏えい事案を取り上げた。

この事案の報告書では技術的な点よりも、Whyの視点から「なぜこの事象が起きたのか」を深掘りしたという。そこで浮かび上がったのはリーダーシップと、情報共有における問題点だった。

リーダーシップについては、不都合な情報を上に伝えると叱責されるような社内風土だと情報が上がりにくくなり、事態が悪化していく。情報共有では、どういった事態の場合に伝えるべきなのかが整理されていなかったのだ。この事案は派遣会社のメンバーが起こしたものだが、「責任の境界が曖昧になっていた点に問題があった」と猪俣氏は述べた。

ここまで初動の重要性を説いてきた同氏は最後に、「現代はセキュリティ事案を他人事にできる時代ではない」としたうえで、「自社でも起きるのではないかという意識を持ち、その準備に何ができるか一旦立ち返って考えてほしい」と呼びかけた。

「そのためには5W1Hの視点、いつ・誰が・どこで・何を・なぜ・どのようにを洗い出すと、シンプルに答えやヒントが見つかってきます」（猪俣氏）