セキュリティインシデントへの備え、どうしてる!?【名古屋コミュニティ(Ikomai) Vol.2 活動レポート】
-
│
はじめに
こんにちは!マクニカ コミュニティマネージャーの髙橋です。
マクニカでは、東海地域でサイバーセキュリティを担う人たちが集うコミュニティ「Ikomai Security Community」を運営しています。Ikomaiでは、『見えない不安も、話せば力に。いこまい、セキュリティ。』をスローガンに、下記のビジョンを掲げて活動しています。
2026年2月12日(木)に開催したIkomai Meetup Vol.2では、「セキュリティインシデントの備え、どうしてる!?」をテーマに、実践的な取り組みを続ける企業の方々による事例共有や、参加者同士のグループディスカッションを行い、テーマについて議論を深めました。
今回は、前回よりも多くの仲間が集まり、現場のリアルな声が飛び交う活発なMeetupとなりました。本記事では、当日の内容をお届けします!
目次
- 当日の様子
- 取り組み事例①:インシデント対応の「備え」をどう実践するか
- 取り組み事例② :実際のインシデント経験と、継続的な訓練の取り組みについて
- ミニセッション:攻撃者はわざわざ高い壁を乗り越えない
- グループディスカッション
- まとめ
当日の様子
Meetupは、参加者同士の挨拶や名刺交換などで始まりを躊躇してしまうくらいの盛り上がりの中、半ば強引に開始させていただく形となりました!今回も「チャタムハウスルール」のもと、参加者が心理的安全性を持って話せる場づくりを意識した運営としました。
はじめは、複数のテーブルに分かれて参加者同士が自己紹介を行い、日頃の取り組みやちょっとした悩みを共有。初対面でもすぐに打ち解ける空気が生まれ、自然とコミュニティらしい温かさが広がりました。
取り組み事例①:インシデント対応の「備え」をどう実践するか
最初の事例登壇では、インシデント対応の「備え」をどう実践するか、というテーマでお話いただきました。
ツールを導入することがゴールではなく、有事の際に"点ではなく面で機能するか"どうかが重要という視点のもと、実際に訓練を回してみることで初めて見えてくる課題や、対策が時間とともに陳腐化していくリスクについて語っていただきました。「完璧より継続」という言葉の通り、一度整えて終わりではなく、改善をやり続ける覚悟を持つことの大切さが伝わる内容でした。
抜き打ち訓練時に見つかった期待するフローとの乖離、机上訓練で判明した復旧時の落とし穴など具体的な事例を共有いただき、会場からも「盲点だった」とうなる声も。
業務を"どう復旧させるか"まで踏み込んで対応することで初めて完結する、という考え方も共有され、経営層との事前のすり合わせや、復旧を見据えた検証の重要性が参加者の印象に残りました。
取り組み事例②:実際のインシデント経験と、継続的な訓練の取り組みについて
続く事例登壇では、実際のインシデント経験と、継続的な訓練の取り組みについてお話いただきました。
実インシデントの初動で素早く関係者が集まり、「分かっていること・分かっていないこと・今やること」を即座に整理・共有できたことで、迷いなく対応を進められたというエピソードは、「これは真似したい」という声が上がるほど具体的で印象的でした。
また、「24時間365日すべてを見ることはできない」という率直な前提のもと、自社でカバーする範囲と外部を活用する範囲を現実的に切り分けていくことの重要性も語られました。体制やルールを整えることと、実際に動けることは別物であるというメッセージは、多くの参加者が自分事として受け止めていた様子でした。そして、こうした訓練を繰り返し、小さな穴を一つずつ塞いでいくことで、攻撃者にとって「割に合わない会社」になっていくという考え方も印象的でした。一度で完璧を目指すのではなく、地道に続けることが備えの質を高めていく、そして、その過程では「失敗してもよい環境づくり」が重要で、"訓練だから笑い話で済む"くらいの気持ちでというメッセージは参加者の心に響いたのではないでしょうか。
ミニセッション:攻撃者はわざわざ高い壁を乗り越えない
マクニカ セキュリティ研究センターの山崎から、攻撃者の視点でどのようなポイントを把握しておくべきかを具体的に紹介しました。
攻撃者はいきなり強固な防御を突破しようとするのではなく、まず弱いところを探すという実態をもとに、OSの標準コマンドの悪用・弱い認証方式・EDR未導入端末の存在など、初期侵入で特に狙われやすいポイントを具体例を交えて解説しました。
「これ、うちは大丈夫だっけ?」と自社に置き換えて考えるきっかけとなるよう、攻撃者目線で自社の弱点を把握することの重要性をお伝えしました。会場からは、自社でもすぐに攻撃者に使われていそうなコマンドのログを調査したい、との声があがりました。
グループディスカッション
事例登壇とミニセッションを踏まえ、参加者が少人数グループに分かれてディスカッションを行いました。チャタムハウスルールのもと、自社の現状や悩みを率直に話し合える場となりました。
「訓練をまだ実施できていない」「バックアップは取っているが戻し方まで確認できていない」といったもやもやが共有される一方、「他社のシナリオを参考にして自社でも机上訓練をやってみたい」「初動の整理フレームはすぐに使えそう」など、次の行動につながる前向きなアイデアも生まれました。
まとめ
セキュリティインシデントの発生が多発するなかで、「うちは大丈夫か?」という不安は、きっと多くの情シス担当者が感じていることと思います。今回のMeetupでは、実践的な訓練から得た学びを、2社の事例登壇という形でIkomaiの参加者メンバーに発表いただきました。事務局が印象に残ったポイントをまとめてみました。
訓練は"設計の正しさ"ではなく"運用の耐久性"を試す
インシデントに関わる訓練は一度やったことがある、という企業も多いと思います。
ただ、訓練後のワークフローをしばらく見直せていない...という方もいるのではないでしょうか。
被害がいつ起きてもおかしくない今だからこそ、改めて見直してみると、思わぬ抜け穴に気づけるかもしれません。
訓練実施時のポイント
・実際にインシデントが起きた想定で、マニュアル通りにエスカレーションが上がってくるかを試してみる
・想定外が起きたときに、どこで立ち止まるのかを確認し、運用上の弱点を一つずつ埋めていく
・全システムの半分が暗号化、バックアップも感染しているなど、具体的なシナリオを想定した業務復旧プロセスを確認しておく
対策は"見直した瞬間"から陳腐化が始まる
対策を見直したときは万全のつもりでも、脅威は気づかないうちに変化しています。
「最後に見直したのいつだっけ?」と思った方は、ちょうど良い振り返りのタイミングかもしれません。
見直し時のポイント
・定期的に脅威トレンドと自社対策のギャップを確認してみる
・マニュアルや体制に"更新期限"を設けて、陳腐化を防ぐ
"万全な備え"より"継続する仕組み"が組織を強くする
万全な対策を一度で作ろうとすると、プレッシャーが大きくて続きません。
小さな改善を繰り返し、昨日より今日がベターであり続けるくらいの気持ちで取り組むと意識が変わるかもしれません。
継続するためのポイント
・一度で完璧を目指さず、地道でもコツコツとマニュアルをアップデートするための時間を確保する
・訓練だからこそ失敗を許容する雰囲気をつくることが、訓練の質と継続性を高める、失敗を楽しむくらいの気持ちで。
・改善の積み重ねが、関係者の意識を高め、攻撃者にとって"コスパの悪い組織"につながると意識する
Tips:一人で抱えず、外部や、有識者の知見をうまく使う
すべてを自社だけでやりきろうとしている企業は多いのかもしれません。
外部をうまく組み合わせることで、限られたリソースでも現実的な体制が組めるという意見もあります。
できるところから下記のポイントをご参照ください!
活用のポイント
・訓練シナリオの作成は外部に依頼するという手もある
・運用監視や初動対応は、外部SOCとの役割分担で負荷を分散する (その他、AIの活用など)
・攻撃者目線で改善ポイントを洗い出してみることにより対策の優先順位が整理しやすくなる
おわりに
Ikomaiはこれからも、東海エリアのセキュリティ担当者が互いに学び、支え合える場となり、"持ち帰りのある場"を作れるよう運営一同盛り上げていきます!コミュニティから得られる知見は人それぞれですので、Ikomaiへの参加で、自分なりの気づきを体感してみていただけると運営一同嬉しく思います。
次回Vol.3はさらにパワーアップしていきますのでもぜひご期待ください!!
▼Taneva(対象:自社のセキュリティを担う方はどなたでもご参加可能) 参加お申込みはこちら
▼Ikomai:東海版コミュニティ(対象:マクニカから製品・サービスをご購入いただいているお客様) 参加お申し込みはこちら
▼IST2:東京版コミュニティ(対象:マクニカから製品・サービスをご購入いただいているお客様) 参加お申し込みはこちら
▼KISC:関西版コミュニティ(対象:マクニカから製品・サービスをご購入いただいているお客様) 参加お申し込みはこちら
