中小企業のセキュリティ初動手順はAI化より先に作る 5項目の証跡ルール
事故直後は原因探しより、後から追える記録づくりが先です。
初動30分で残す5項目を決め、AIは証跡整理の補助として使いましょう。
AI化より先に、最初の対応で「直す」より「残す」を決める。
事故直後は、原因究明より先に〈誰が・いつ・何を見て・どう判断したか〉の証跡を守る。AIはその記録を整理する補助で、原本や原因の断定を置き換えるものではない。
中小企業のセキュリティ初動手順は、AIでログを要約する前に決めておく必要があります。事故が起きた直後は、原因を探したくなるもの。
しかし最初に抜けやすい記録は、誰が、いつ、何を見て、どの判断をしたかという証跡です。
証跡が残っていないと、復旧、顧客説明、保険、法令報告、外部相談のすべてが不安定になり、AI化より先に、会社として残す情報を5項目に絞ることが中小企業の初動を落ち着かせる出発点になります。
要点初動で守るのはシステムだけではなく記録です
最初の30分で残すのは、発見記録、影響範囲、初動判断、技術ログ、報告・相談履歴の5つです。AIはこの記録を整理する補助にはなりますが、記録そのものを後から作ることはできません。
セキュリティ初動はAI化より先に証跡ルールを決める
セキュリティ事故の初動では、原因究明より先に、事実を失わないことを優先します。感染端末、改ざんされたWebページ、ログインできないSaaS、取引先からの不審連絡など、入口は違っても最初の対応は似ています。
まず必要なのは、第一報を1か所に集めることです。誰かのチャット、電話メモ、メールの断片だけに頼ると、時刻と判断者が後でずれるため、報告や再発防止で説明できない空白が残ります。
- 発見者と発見時刻をJSTで残す
- 見えている症状と画面キャプチャの有無を残す
- 責任者と経営者へ共有した時刻を残す
- 止めたもの、止めなかったものと理由を残す
AIを使うなら、この後です。すでに残した記録を要約、分類、抜け漏れ確認に使うのは現実的ですが、AIの回答だけで原因や責任範囲を断定しない運用にしてください。社内AIの権限確認は、AIアクセス権限の棚卸しと合わせて見直すと、ログを誰が読めるかまで整理しやすくなります。
公的手引きが示す初動対応の3段階
経済産業省とIPAの中小企業向け手引きは、インシデント対応を大きく検知・初動対応、報告・公表、復旧・再発防止に分けています。これは、技術作業だけで事故対応を閉じないための分け方です。
初動対応の3段階
| 段階 | 主な行動 | 経営側の判断 |
|---|---|---|
| 検知・初動対応 | 第一報 隔離 証跡保全 | 止める範囲 責任者指示 |
| 報告・公表 | 顧客連絡 委託元連絡 公的窓口確認 | 報告要否 説明範囲 |
| 復旧・再発防止 | 原因調査 復旧判断 監視強化 | 再開条件 再発防止投資 |
中小企業で抜けやすいのは、1段階目と2段階目のつなぎ目です。技術担当が調査に入る一方で、経営者への共有や報告先の確認が遅れると、事業影響を誰が判断したのかが曖昧になり、顧客説明の一貫性も失われます。
出典: 経済産業省「中小企業のためのセキュリティインシデント対応の手引き」
公的手引きは、検知後に情報セキュリティ責任者や経営者へ連絡し、対応方針を指示する流れも示しています。初動手順書は情報システム部門だけの資料ではなく、経営判断の台本だと考えると使いやすくなります。
メモ「セキュリティ担当者が原因を調べてから経営者へ報告する」順番に固定すると、顧客連絡や停止判断が遅れます。第一報は未確定情報を含めて早く共有する設計にします。
初動30分で残す5項目の証跡ルール
初動30分の目的は、完璧な原因特定ではなく、後から第三者が追える記録を作ることです。
まずは、次の5項目を1枚のシートに固定してください。
5項目の証跡ルール
| 証跡 | 残す内容 | 抜けると困ること |
|---|---|---|
| 発見記録 | 日時 発見者 最初の症状 | 発生時刻を説明できない |
| 影響範囲 | 端末 アカウント SaaS 業務影響 | 被害範囲を狭く見積もる |
| 初動判断 | 遮断 停止 連絡 判断者 | 誰が止めたか分からない |
| 技術ログ | PC サーバー NW機器 管理画面 | 原因調査の材料が消える |
| 報告・相談 | 顧客 委託元 公的窓口 専門家 | 報告遅れになる |
この5項目を決めておくと、次にAIで要約する場合でも原本へ戻れます。AIの出力は「整理結果」であり、証跡の原本ではないため、保存先、取得者、取得時刻をセットで残してください。

技術ログには、PCのディスク、メモリ内データ、サーバーやネットワーク機器のログ、SaaS管理画面のログなどが含まれます。すべてを自社で解析する必要はありませんが、消える前に残す判断だけは社内で決めておく必要があり、ここを曖昧にすると原因調査の材料が戻りません。
ログを取る場所が分からない会社は、通常時の台帳づくりが出発点になります。端末、アカウント、SaaS、外部公開システム、保守会社の連絡先を一覧にしておくだけでも、事故時の初動はかなり変わるでしょう。生成AI利用ルールと合わせるなら、AI利用ルールの作り方で入力禁止情報も同時に整理しておくと安全です。
やってはいけない初動対応
初動で避けたいのは、善意の対応で証跡を消してしまうことです。被害を止めたい気持ちは自然ですが、隔離、停止、電源断、初期化は同じではありません。
止め方を分けるだけで、残せる情報が変わります。
警告「とりあえず電源を切る」は標準手順にしない
不用意な電源断や初期化で、メモリ上の情報、ログ、暗号化前後の状態が失われる場合があります。被害拡大を止める必要があるときも、ネットワーク隔離と証拠保全を分けて判断してください。
特にランサムウェアらしい画面、不審な管理者ログイン、Web改ざん、取引先からの不審メール連絡では、「直す」より先に「残す」を合言葉にします。復旧作業は必要ですが、原因が分からないまま戻すと再発監視もできません。
- 初期化しない: 専門家相談前に端末やサーバーを初期化しない
- 単独判断しない: 技術担当だけで顧客連絡や公表要否を決めない
- AIに丸投げしない: ログ要約と原因断定を混同しない
- 記憶頼みにしない: 口頭報告だけで初動を終わらせない
ブラウザ拡張やAIブラウザを業務で使っている会社は、事故時の切り分けも複雑になります。接続範囲を把握する観点は、AIブラウザのリスク整理でも確認しておくと、平時の棚卸しに使えます。
報告先・相談先は事故類型で変わる
セキュリティ初動で迷いやすいのが、どこへ報告・相談するかです。個人情報、犯罪性、不正アクセス、ウイルス感染、委託契約、業法のどれに関係するかで、見るべき窓口は変わり、技術担当だけでは判断しきれない領域が出ます。
事故類型ごとの相談先候補
| 疑い | 最初に見るもの | 相談先候補 |
|---|---|---|
| 個人情報漏えい | 対象情報 人数 漏えい経路 | 個人情報保護委員会 委託元 |
| 犯罪性 | 脅迫文 不正送金 侵入痕跡 | 警察 保守会社 |
| 不正アクセス | ログイン履歴 IP 管理者操作 | JPCERT/CC IPA 専門家 |
| 取引先影響 | 送信メール 共有ファイル 契約条項 | 取引先 法務 委託元 |
個人情報漏えい等に該当する可能性がある場合、報告対象類型や期限の確認が必要です。個人情報保護委員会は、速報を発覚日から3〜5日以内、確報を30日以内、不正目的のおそれがある場合は60日以内としています。
これは法的助言ではなく、該当しそうなときに経営者が早めに確認すべき期限として見てください。
JPCERT/CCは、インシデント初動対応のサポート依頼を受け付けています。ログ分析やフォレンジック調査の方法が必要になる場合もあるため、自社だけで原因を決めつける前に相談候補へ入れる判断が現実的です。
報告先表は、平時に作るものです。事故中に検索していると、どの情報を伝えればよいかまで考える余裕がなくなります。夜間・休日の初動を想定するなら、夜明け前のセキュリティ対応で見るべきことも合わせて確認しておくと、連絡順を決めやすいでしょう。
AIを使うなら入力禁止情報と保存ルールを先に決める
AIは、セキュリティ初動の記録を読みやすくする補助にはなります。たとえば第一報を時系列へ並べる、影響範囲の抜けを質問させる、報告文の下書きを整える、といった使い方ができます。
一方で、ログや顧客情報を外部AIへ丸ごと貼り付ける運用は危険と考えてください。
注意AIは原因断定ではなく整理補助に使う
AIの要約は、原ログ、設定変更履歴、専門家確認へ戻れる形で使います。「AIがこう言ったから原因はこれ」では、証跡にも報告にも耐えません。
AIへ渡してよい情報の範囲は、事故が起きる前に決めます。個人情報、認証情報、秘密鍵、未公開の顧客情報、契約書、社内の脆弱性情報は、少なくとも初期ルールでは入力禁止にしておくほうが安全で、事故時だけ例外にする運用も避けます。
総務省・経済産業省のAI事業者ガイドラインも、安全性、セキュリティ、検証可能性、個人情報入力への留意を扱っています。中小企業の実務では、難しいAI統制から始めるより、入力禁止情報、保存先、閲覧権限、原本確認の4つに絞るほうが定着しやすいです。
AIのデータ保持や学習利用を確認するなら、生成AIに社内データを学習させない設定で扱ったように、学習、保持、人間レビュー、社内参照を分けて見ます。ChatGPTなどへの入力事故は、ChatGPTの情報漏洩対策と合わせて、平時の社員教育へ落とし込んでください。
明日から作る初動手順書の最小テンプレ
最初の初動手順書は、厚い規程でなくて構いません。事故時に開ける1枚を作るほうが、現場では使われます。紙1枚、Googleスプレッドシート、Notion、社内Wikiのどれでもよいので、更新しやすい場所に次の形で置いてください。
初動手順書の最小テンプレ
| 欄 | 書く内容 | 責任者 |
|---|---|---|
| 第一報 | 発見者 時刻 症状 | 発見部署 |
| 影響範囲 | 端末 アカウント SaaS | 情報管理担当 |
| 初動判断 | 隔離 停止 連絡 | 責任者 経営者 |
| 証跡保存 | ログ 画面 取得者 | 技術担当 |
| 外部相談 | 顧客 公的窓口 専門家 | 経営者 |
このテンプレは、紙1枚でもスプレッドシートでも構いません。大切なのは、担当者名、連絡先、判断条件、保存場所が事故時に開ける状態になっていることです。
手順書が共有フォルダの奥に眠っているだけでは、初動手順として機能しません。

- 10分: 事故時の第一報テンプレを作る
- 10分: 端末、SaaS、サーバー、保守会社の台帳を置く
- 5分: 電源断、隔離、停止の判断者を決める
- 5分: 報告・相談先候補を事故類型ごとに並べる
手順書を作ったら、月1回だけでも机上訓練をします。実際の事故を待たずに、「不審メールが来た」「管理者ログインが失敗し続けた」「共有フォルダが暗号化された」という3つの想定で、誰が何を見るかを確認してください。
実務初回は完璧な規程より使われる1枚を優先する
最初から法務文書のように作ると、事故時に開かれません。第一報、5項目の証跡、報告先、AI入力禁止情報だけを先に固定し、訓練で足りない欄を足すほうが続きます。
中小企業のセキュリティ初動手順は証跡から作る
中小企業のセキュリティ初動手順とは、事故直後に事実を失わず、被害拡大防止、報告、復旧判断へつなげるための記録と判断の型である。AI化は、その型があって初めて役に立つ補助です。
最初に作るべきものは、高度なAI監視ダッシュボードではありません。発見記録、影響範囲、初動判断、技術ログ、報告・相談履歴を残す1枚です。ここが決まると、AIで要約する範囲、社員が入力してはいけない情報、外部専門家へ渡す資料も自然に決まります。
次に取り組むなら、社内のAI利用ルール、アクセス権限、データ保持設定を同じ流れで点検してください。AIアクセス権限の棚卸しと生成AIのデータ設定確認を先に読んでおくと、事故時にAIへ渡してよい情報と渡してはいけない情報を分けやすくなります。
まとめAI化の前に、残す情報と判断者を決める
中小企業の初動対応は、専門ツールの有無よりも、最初の30分で何を残すかに左右されます。5項目の証跡ルールを先に決め、AIはその記録を整理する補助として使ってください。
中小企業のセキュリティ初動手順でよくある質問
Q中小企業のセキュリティ初動では、最初に何をすべきですか?
A中小企業のセキュリティ初動では、発見日時、発見者、最初に見えた症状、影響範囲、初動判断を記録し、責任者と経営者へ共有します。原因調査だけを先に進めず、被害拡大防止と証跡保全を並行します。
Q感染したPCはすぐ電源を切ってよいですか?
A感染したPCの電源断は一律には決められません。電源を切ることでメモリ上の情報やログが失われる場合があるため、ネットワーク隔離、画面記録、専門家相談を分けて判断します。
Q初動対応で残すべき証跡は何ですか?
A初動対応で残すべき証跡は、発見記録、影響範囲、初動判断、技術ログ、報告・相談履歴の5項目です。誰が、いつ、何を見て、どの判断をしたかを後から追える形にします。
QAIにログを読ませれば原因調査はできますか?
AAIにログを読ませる使い方は、要約や抜け漏れ確認の補助に留めます。原因断定、法令報告、証拠保全の代替にはならないため、原ログ、設定、専門家確認へ戻れる運用が必要です。
Q個人情報漏えいの可能性がある場合、何を確認しますか?
A個人情報漏えいの可能性がある場合、報告対象類型、速報と確報の期限、本人通知、委託元や取引先への連絡要否を確認します。技術担当だけで判断せず、経営者、法務、外部専門家を含めて見ます。
Q初動手順書はどこまで作ればよいですか?
A初動手順書は最初から厚く作る必要はありません。第一報テンプレ、5項目の証跡、事故類型別の相談先、経営者判断が必要な条件、AI入力禁止情報を1枚にまとめるところから始めます。