第7章：インシデント時の初動（証跡/報告/隔離）

この章で学ぶこと

• 初動は「証跡保全→報告→隔離」を基本とし、被害拡大が継続している場合は隔離を先行する
• 誤操作を増やさない（権限/手順を統制する）
• 関係者への連絡粒度を固定する

成果物（または判断基準）

• 初動チェック（チェックリスト集）
• 状況共有の最小テンプレ（チーム内で統一）

本文

初動で拙速に操作すると、証跡が消えたり影響を拡大しやすい。手順を固定する。

隔離の例: 公開停止、権限剥奪、トークン失効。原則は証跡（ログ/設定）を先に確保するが、被害拡大が進行している場合は最小操作で隔離を先行し、証跡保全は並行して行う。

状況共有テンプレ（最小）

関係者への報告は、項目を固定して情報の抜け漏れを減らす。

• 発生時刻（推定可）:
• 概要（何が起きたか、1-2行）:
• 影響範囲（誰に/どこに）:
• 現在の状況（進行中か/停止できているか）:
• 実施した対応（証跡保全/隔離）:
• 次のアクション（担当/期限）:
• 証跡（チケット、ログ、設定差分のURL等）:

注: 被害拡大が継続している（攻撃/漏えいが進行している）場合は、最小操作で隔離を先行しつつ、証跡保全を並行する。 例: 「公開停止/権限剥奪」→「ログ/設定の保全」→「関係者へ状況共有」。

具体例（悪い例→良い例）

悪い例

まず設定を変更して復旧を試みる
証跡を残さない

良い例

証跡保全（ログ/設定の取得）
報告（関係者/窓口）
隔離（公開停止/権限剥奪/トークン失効）

チェックリスト

• 証跡を確保した
• 報告経路が分かっている
• 隔離手順がある

まとめ

• 初動は「証跡保全→報告→隔離」を基本とし、拙速な変更で影響を拡大させない
• 操作権限と手順を統制し、状況共有の粒度（項目）を固定する

次章への接続

• 次章: 第8章
• 関連: インシデント運用の型（詳細）: インシデント対応 基礎
• 関連: 障害報告/ポストモーテムの書式: エンジニアリングドキュメント 基礎