セキュリティ対応の型——制約だらけの現場で前に進める判断と段取り

AI活用 Claude セキュリティ対応 トリアージ プロジェクトマネジメント プロンプト リスク管理 意思決定
セキュリティ対応の型——制約だらけの現場で前に進める判断と段取り

1. 導入

2025年、国内のセキュリティインシデント公表件数は165件(前年比約1.4倍)、個人情報漏洩は年間約2,190万件です。(出典:サイバーセキュリティクラウド「企業のセキュリティインシデントに関する調査レポート2025」2026年2月公表)

そして2026年度末には、経産省のサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)(★3・★4)が始まります。セキュリティ対策の水準が取引条件になる——つまり「やらない」という選択肢がなくなります。

では、何をすればいいのか。当然、現場には指示が降りてきます。コンサルは的確に指摘し、経営層は危機意識を持ち、ベストプラクティス文書も充実しています。どれも間違っていません。ですが、その指摘どおりに動いた現場では──監査ログの有効化でコストが爆発し、脅威検知の導入でアラート仕分けに業務時間が溶け、ID管理の厳格化で他部署から突き上げを食らいます。指摘どおりに動いた結果、現場が潰れるのです。

この記事が向き合いたいこと

指摘は揃っている。危機意識もある。文書も充実している。ですが、その3つと現場の間を埋める構造は、あるでしょうか。

  • 時間がないとき、どう優先順位をつけるか
  • 予算がないとき、どこから手をつけるか
  • 人がいないとき、どう設計を回すか
  • 権限がないとき、誰をどう巻き込むか
  • 売上に繋がらないとき、どう経営を説得するか
  • 脅威検知のアラート仕分けや運用負荷が現場を圧迫しているとき、どう立て直すか
  • 構築時にセキュリティを考慮していなかったシステムに、後からセキュリティを求められたとき、どう対処するか
  • 作った人が退職して中身がブラックボックスのとき、どこから手をつけるか

この記事は、これらの制約を属人的な判断や英雄的な個人の頑張りではなく、型とテンプレートで再現可能にするための構造を書きます。

具体的な技術構成やツールの詳細は扱いません。それらは参照先に譲ります。ここで扱うのは、技術の手前にある「判断と段取りの仕組み」──誰がやっても同じ判断に辿り着ける構造です。

2. 暫定対応——最初から全部やるな

2-1. インプット

前提:セキュリティの準備がほとんどできていない現場を想定しています。資産台帳もない、手順書もない、誰が何を管理しているかも曖昧——そういう状態です。

教科書は「設計から見直しましょう」と言います。ですが、現場には設計を見直す時間も権限もありません。暫定対応でやることは致命傷の回避だけです。正しい設計の前に、まず生き延びてください。

2-2. プロセス

暫定対応のプロセスは5ステップ。
手を動かす前に必ず「仕分け」がある——これが致命傷の回避と二次障害の予防を両立させる鍵です。

STEP 01:洗い出しと仕分けの境界線

洗い出しは完璧にする必要はなく、「思いつく限り」で構いません。
仕分けの判断基準は制約メモをもとにし、数分〜数時間で「止める・絞る・無効化」ができないもの、少しでも影響が不明なものはすべて「触らない(恒久計画送り)」に倒します。
「迷ったら触らない」が鉄則です。

STEP 02:「通告」は承認ではない

対応予定の項目について影響を確認し、影響がある相手に事前通告します。承認ではなく「通告」です。

〈影響確認〉
そのポートを閉じて困る人はいますか?
そのキーを止めて動かなくなるバッチはありますか?
完璧な影響調査ではなく「明らかにまずい影響」だけ確認し、わからないものは「触らない」に戻します。
内部完結する変更なら進めることを推奨します。

〈通告の作法〉
誰に:影響を受ける相手+直属上長に同時報告、担当者だけに報告すると「聞いていない」が発生します。
何を:対応内容・理由・想定影響・切り戻し手段。トリガー文を再利用します。
いつ:即時対応(インシデント進行中)→通告と同時に実行、当日対応(脆弱性の放置が危険)→最低2時間前、計画対応(応急だが翌日以降でも可)→前営業日まで。
猶予は「同意を得る時間」ではなく「異議を述べる機会」です

STEP 03:手順書の作成と検証の判断基準

対応操作の手順書を書き、第三者がレビューし、テスト環境があれば検証します。

〈判断基準〉
 「今すぐ対応しないと被害が拡大する」(インシデント発生中・攻撃進行中)などであれば→このSTEPを飛ばして「04 実行」に直行します。
ただしこれは二次障害のリスクを許容する判断のため、実行後は「05 観測」を厚くし、事後に手順書を起こしてください。

STEP 04:切り戻せない変更は禁止

実行前に切り戻し手順(ロールバック)が確立できない作業は、このフェーズでは絶対に実行しません。

1件ずつ、手順書どおりに。「ついでに」で他も触りません
実行前に切り戻し手順を確認します。切り戻せない変更は暫定対応ではやりません
実行日時・対象・操作内容をその場で記録します。記憶は飛びますが、ログは残ります。

STEP 05:不具合は「依存関係の発見」

対応後の影響を観察します、問い合わせが来たらそれが依存関係の発見です。
エラーログ・監視アラート・ユーザーからの報告を確認します。
切り戻しが必要なら切り戻し、それもアウトプットに残します。

Appendix:リスト化でよく出てくる積み残しの例

暫定対応プロセスのステップ1「洗い出し・仕分け」で頻出する項目と、それぞれの暫定対応での対処方針です。

全世界に開いたSSH/RDP

構築時の「とりあえず」が永久化しています。作った人は退職済みです。

対処方針:接続元IPを業務上必要な範囲に絞ります。不要なら閉じます。影響確認は「今そのポートを使っている人がいるか」だけです。

退職者のアカウント・APIキー

半年放置されています。最終利用日を見れば一目でわかりますが、誰も見ていません。

対処方針:最終利用日が直近でないものは無効化します。バッチやサービスが使っている場合は「触らない」に分けて恒久計画へ回します。

クラウドストレージの公開設定

公開アクセス制限が無効のままです。中身が空でも、書き込み可能ならマルウェア配布元に、読み取り可能なら構成情報の推測材料になります。

対処方針:公開アクセス制限を有効化します。既存の公開URLに依存する業務がないか確認し、あれば代替手段(署名付きURL 等)を案内してから閉じます。

管理画面が全世界に公開されている

WordPressの /wp-admin や xmlrpc.php、phpMyAdminの /phpmyadmin が誰でも叩ける状態です。デフォルトパスワードなら数分で突破されます。

対処方針:接続元IPを制限します。IP制限ができない環境ではBasic認証を追加します。デフォルトパスワードは即時変更します。

ログが機能していない

監査ログ、アクセスログ、エラーログ——保存先が溢れて止まっていたり、ローテーションが未設定で古いログが消えていたりします。そして何より、見ている人間がいません。

対処方針:暫定対応では「ログを直す」必要はありません。まず今出ているログの保存先とローテーション設定を確認し、止まっていれば復旧します。「誰がいつ見るか」の仕組みは恒久対応で設計します。

特権IDにMFAがない

最上位の管理者アカウントだけではありません。管理者権限を持つ全てのアカウントが対象です。1件あたり5分で終わるのに放置されています。

対処方針:管理者権限を持つアカウントを一覧化し、MFAを順次有効化します。1件5分です。拒否する人がいたら「触らない」に分けて理由を記録し、恒久対応で権限見直しと合わせて対処します。

2-3. アウトプット

成果物01:初動レポート

初動レポートは表やメモ書きの形式で構いませんので、「やったこと」と「起きたこと(観測された結果)」の事実だけを時系列で並べてください。「なぜそうしたか」という主観や弁明は一切不要です。
事実が時系列で追えれば、それだけで十分に機能するレポートになります。

【初動レポート】
  • 対応日時:YYYY/MM/DD HH:MM (JST)
  • 対象システム:(例:FW-xxx / 本番サーバー)
  • 操作内容:(例:インバウンド22番ポート削除)
  • 結果:(例:SSH接続をIP制限に切替済み)
  • 影響:(例:影響報告なし)

成果物02:恒久計画への申し送り一覧

ステップ1の仕分けで「触らない(恒久計画送り)」と判断した項目と、その理由を明確に記録します。
暫定対応の実行中に現場で発見した依存関係や、システムのブラックボックス領域があれば、ここにすべて書き出してください。
ここに集まった「触れなかった理由」が、次の恒久計画フェーズにおける重要なインプット(調査項目)になります。

【恒久計画への申し送り一覧】
  • 抽出日時:YYYY/MM/DD HH:MM (JST)
  • 対象項目:(例:退職者のアカウント・APIキー)
  • 見送りの理由:(例:サービス内部のバッチで利用されている疑惑があり影響不明のため)
  • 後続ステータス:恒久計画送り(調査要) / 対応不能(要判断)
お問い合わせ メソッドの適用やプロジェクトの推進のご相談はこちら。

3. 恒久計画——調査して、優先順位をつけて、計画する

暫定対応は応急処置です。目の前の危険を避けただけで、根本的には何も解決していません。ここでやることは、ちゃんと調査して、優先順位をつけて、計画を立てる。それだけです。

そして——ここで初めて、導入で触れたコンサルの指摘・経営層の要求・ベストプラクティスに正面から向き合えます。「やったことがない」状態で指摘を受けても現場が潰れるだけでした。暫定対応を経た今なら、指摘と現実を突き合わせて「これはもうやった」「これは次にやる」「これは今の体制では無理」と仕分けられます。

3-1. インプット

STREAM 01|暫定対応の成果物は、自分たちが暫定対応で残した記録です。「やったこと」と「やらなかった理由」が両方記載されており、恒久計画はこの記録を起点に調査範囲を決めます。

STREAM 02|コンサルの指摘・経営層の要求は、外から降ってくる要請です。監査報告書が準拠するベストプラクティス(CIS Benchmarks、NIST CSF 等)も同じ要領で照合しますが、自力で全項目を読む必要はありません——監査が参照した範囲から始めるのがコツです。

3-2. プロセス

暫定対応では「マトリクスは使うな」と言いました。恒久計画では使います。暫定対応で手を動かしたから、マトリクスに入れる中身がわかっています。経験の前にマトリクスを渡しても空欄になる——これは暫定対応で証明された事実です。

STEP 01 補足:監査以外がトリガーの場合
インシデント発生・経営号令・退職など、監査報告書がない状態でこのフェーズに入る場合は、利用環境のベストプラクティス(AWS Well-Architected、Azure Well-Architected、CIS Benchmarks など)から、暫定対応で触った領域に最も近いものを1つだけ選んで照合する。複数を同時に参照しない。

STEP 03 補足:マトリクスへの配置の目安
暫定対応で仕分けた理由が、そのまま位置決めの材料になる。
「業務停止リスクあり」と判断したものは影響度が高く最優先。
「影響不明」のままのものは調査結果が出た時点で配置を決める。
「調査未完了」は恒久対応フェーズで本格調査から着手する案件として最右上(高影響・高確率)に置く。

STEP 04 補足:「対応不能」の扱い
体制・権限・予算のいずれかで現時点では対応できない項目は、「できません」と報告しない。
「○○(リソース・権限・予算)があればできます」という形で不能の理由を明記し、経営報告に回す。
これが次の予算・増員の稟議材料になる。

3-3. アウトプット

恒久計画の各成果物が、そのまま次ステップ・次フェーズ(恒久対応)の入力になります。

突き合わせ一覧(STEP 01 の成果物)

コンサルの指摘・経営層の要求と暫定対応の実績を並べ、対応済み・未着手・対応不能に分類した一覧。
「もうやった」と言える項目があることが最大の武器になる。

調査結果(STEP 02 の成果物)

未着手の項目ごとに、優先順位の判断に必要な情報をまとめたもの。
「調査未完了」も結果のひとつ。
無理に埋めずそのまま次のステップに回す。

優先順位一覧(STEP 03 の成果物)

影響度×発生確率で並べ替えた対応順序。
STEP 04の計画策定でロードマップとスケジュールへの入力になる。

全体ロードマップ(STEP 04 の成果物)

全項目の対応順序・依存関係・マイルストーンを俯瞰する。
経営報告・稟議の根拠。
「全部やります」ではなく「この順序でやります、これは予算がないとできません。」と返せる。

マスタスケジュール(STEP 04 の成果物)

何をいつやるかを四半期単位で具体化する。
調査・実行・報告の工数を配置し、恒久対応の作業指示に直結する。

お問い合わせ メソッドの適用やプロジェクトの推進のご相談はこちら。

4. 恒久対応——計画どおりに対応する

恒久計画で決めた対応計画に沿って、対応を実行し、結果を報告します。

4-1. インプット

恒久計画の成果物
  • 優先順位一覧
  • 全体ロードマップ
  • マスタスケジュール

恒久計画で決めた「何を・どの順で・いつやるか」がそのまま恒久対応の作業指示になります。

4-2. プロセス

STEP 01 本格調査

調査で判断材料が揃わなかった項目について、構成解析・影響範囲特定・依存関係調査を行います。

恒久計画の調査は「優先順位を決める」ため、本格調査は「対応方針を確定する」ためです。
ブラックボックスの解析、影響範囲の特定、ベストプラクティスとの照合など、設計判断に必要な深さまで踏み込みます。

STEP 02 実行

計画どおりに対応します。依存関係がない項目は並行して進めて構いません。

本格調査の結果から「対象・前提条件・操作手順・切り戻し・確認方法」の5項目を手順書に書きます。
第三者が同じ操作を再現できる粒度があれば十分です。

STEP 03 報告

経営層・監査元に進捗と残存リスクを報告します。

「何をやったか」「何が残っているか」「残っているものにはいくらかかるか」——この3つが揃えば、コンサルの指摘にも経営の質問にも答えられます。

4-3. アウトプット:コンサルにも経営層にも現場にも答える

手順書

恒久対応で対応した項目の手順書です、下記3種に分けます。

  • 定常運用
  • インシデント対応
  • 定期見直し

暫定対応の初動レポートと合わせれば、対応の全体像が一本の線になります。

経営報告

投資対効果とリスク残存量を可視化します。
技術者の言葉ではなく、経営が判断できる粒度で書きます。

「予算がない」「売上に繋がらない」への回答をここで作ります。
「放置したらいくらかかるか」を数字で示します。
積み残しの調査で不要リソースや過剰スペックが見つかれば、コスト削減の実績も報告できます。

LOGIC COMMENT ANDGATEとしての意味

ANDGATEの由来は「論理積(AND回路)」。すべての入力が揃わなければ、出力は得られない。

正しい指摘 ∧ 動ける計画 = 現場が前に進める

ANDGATEは、この原則で現場と一緒に動きます。

DOWNLOAD CONTENT

制約だらけの現場を前に動かす、Claude専用スキル『セキュリティ対応の型』を無料配布!

暫定対応から恒久対応まで。制約だらけの現場でも判断と段取りの型を再現する「AIスキル定義プロンプト」を配布します。
プロンプトを読み込ませると、画像のようにClaudeが『スキル』を認識し、専門家として回答を始めます。

【配布内容】methods_MI-015_security.zip

  • security-response-pattern
    • SKILL.md(メインプロンプト)
    • README.md(利用ガイド)
    • templates
      • initial-report.md(初動レポート)
      • carryover-list.md(申し送り一覧)
      • alignment-table.md(突き合わせ一覧)
      • priority-list.md(優先順位一覧)
      • roadmap.md(全体ロードマップ)
      • master-schedule.md(マスタスケジュール)
      • procedure.md(手順書)
      • executive-report.md(経営報告書)
    • references
      • triage-criteria.md(「対応する/触らない」仕分け判定フロー)
      • scenario-catalog.md(積み残しシナリオDB)
      • priority-matrix.md(優先順位マトリクス基準)
      • notification-protocol.md(影響確認・通告の作法)
      • benchmark-mapping.md(CIS/NIST等ベンチマーク照合手順)
      • handoff-criteria.md(フェーズ間ハンドオフ判断基準)

※本スキルはClaude専用の「AIエージェント構築セット」です。他AIでは設計通りの動作にならない場合があります。
※生成AIの特性上、回答の正確性は保証されません。本ツールの利用により生じた不具合・損害・法的トラブル等について、当社は一切の責任を負いかねます。

ダウンロードコンテンツ請求フォーム