身近な脅威にはまず連絡窓口の設置から！

はじめに

情報セキュリティ１０大脅威２０２５が発表されましたね。
ランサム攻撃による被害と機密情報を狙った標的型攻撃が相変わらずランクインしていました。これらの入口はメールやWebサイト経由であることが多いため、自組織を守るために最低限できる（既存システムで組む）で取り組んだことについて特定されない形でnoteに書いてみます。

情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

連絡窓口の設置までの道筋

窓口の集約化

窓口は１つに絞りましょう。集約しないと相談を受けたり、別ルートが来て対応に追われてしまいます。窓口対応を複数つけるとよいです。電話回線やIP電話などは契約に時間がかかるので、はじめの段階で手を付けておくといいです。

想定シナリオの作成

自社のシステムや端末で起こりうるシナリオを網羅的に洗い出す
過去に起きた事象でも構いませんので、洗い出してみましょう。参考ですが１０くらい出ました。

切り分け基準の設定

最初のヒアリングが終わった時点で切り分けをできるのは知識と実践がある人だけなので、それがある程度汎用的にできるように切り分けの基準を設定します。この切り分けによってエスカレーションが必要かどうか、判断材料にします。

エスカレーション先探し

シナリオが決まったら、そのシナリオが発生した際にどこへエスカレーションするかを考えます。エスカレーション先として妥当な組織に対して確認を取ることを忘れずに。

体制図の作成

想定される体制図を作成します。この体制図を下に、体制図内にいる組織の方々へ同意を取ります。苦労しますが、苦労はするんですがここが一番大事です。

フロー図作成

今まで作ってきたものをもとにフロー図を作ります。A4１枚でおさまるものではないですが、粒度別に作ったりシナリオ別につくって使いやすいものを選ぶと良いと思います。

トークスクリプトとヒアリングシートの用意

連絡を受けた人が必要な情報を網羅できるように、トークスクリプトとヒアリングシートを用意します。通話で受ける場合もあればチャットやメールなどで受ける場合もあるため、必要な情報を整理し、展開ができるようにします。

マニュアル簡易版の作成

マニュアルを簡易版でいいので各々に作成依頼をします。この通りした場合に通用するかどうかは次の訓練で確認します。

訓練の実施

小規模でいいので訓練をします。これまでにつくったものを利用し訓練します。想定通りにオペレーションできたか、改善すべき点があったかなど実施後に必ずヒアリングやアンケートを行います。改善すべき点はそれぞれに改善を依頼します。

連絡先窓口の周知

連絡先窓口の周知を広報部門などと連携して行います。また、教育研修プログラムにも入れてもらえるように人事部門と連携します。

連絡窓口の記録

運用が始まったら日々記録を取ります。記録の項目を統一して毎月単位でいいので記録し、集計して内容を報告するようにしましょう。また毎月運用の見直しをするような動きが取れるとなお良いですが、ナレッジがたまっていったらドキュメントに記載する、担当者でMTGするなどがよいでしょう。毎回や定期的な振り返り大事です。

おわりに

いざというときの連絡先を作っておくと最初は想定していない連絡来ることも少なくありません。顕在化することもしばしばあり、最初の対応は大変ですが迅速に対応できるよう日々運用改善していけるといいなと思います。