インシデント初動で通信を止めるか — 封じ込めの判断と事前準備

「サーバーから見覚えのない宛先への通信が出ている。今すぐ回線を抜くべきか？」——インシデント対応の初動で、現場が最初に直面する問いです。止めれば被害の進行は断てるかもしれない。しかし業務も止まり、調査の手がかりを失うかもしれない。この判断は、起きてから考えると最も難しく、起きる前に決めておけば大部分が機械的に処理できる種類のものです。この記事では、封じ込め（通信を止めること）の効果と代償、そして事前に決めておくべきことを整理します。

止めることで得られるもの

侵害の多くは、外部との通信が続くことで被害が拡大します。攻撃者の指令サーバーとの定期的なやり取り（C2ビーコン）、収集したデータの外部への持ち出し、追加のマルウェアのダウンロード——いずれも外への到達性が前提です。

通信を止めれば、この進行を断てます。感染そのものが消えるわけではありませんが、「持ち出しがこれ以上進まない」「攻撃者が次の指示を送れない」状態を作れる。初動における封じ込めの価値はここにあります。

止めることの代償

一方で、通信を止めることには明確な代償があります。

• 業務が止まる — 止めた範囲の正常な業務通信も道連れになります。基幹サーバーの回線を抜けば、影響は感染の有無と関係なく全社に及びます
• 攻撃者に気づかれる可能性 — 通信が突然途絶えれば、攻撃者は対応が始まったことを察知し、証拠の消去や挙動の変更に動くかもしれません
• 揮発性の証跡が消える可能性 — 対応の仕方によっては、メモリ上の情報や進行中の接続状態など、原因調査に必要な手がかりを失うことがあります。特に電源断を伴う対応は、得るものと失うものをセットで考える必要があります

つまり「止める」は無料の選択肢ではありません。だからこそ、その場の空気で決めるべきではないのです。

事前に決めておくべき4つのこと

初動の質は、当日の判断力よりも事前の取り決めで決まります。最低限、次の4点を文書にしておくことをおすすめします。

1. 何を見たら止めるか（基準） — 例:「持ち出しに使われやすい既知の宛先への通信を確認したら」「未知の宛先への大量送信が続いたら」。基準が曖昧だと、現場は止める判断を先送りします
2. 止める単位 — 端末1台か、セグメントか、拠点全体か。単位ごとに業務影響と封じ込め効果が違います。選択肢を事前に列挙しておく
3. 誰が判断するか — 深夜に役員の承認を待つ運用は、初動として機能しません。「この基準ならこの担当者の判断で止めてよい」という委任を決めておく
4. 記録の確保 — 止める前後で何が起きていたかを示すのは通信記録です。ファイアウォールログが「いつから・どこへ・通ったか止めたか」を語れる状態を平時から維持しておく

セグメント単位で止められる構成にしておく

事前準備の中でも効果が大きいのが、ネットワークを止める単位で区切っておくことです。

全社が一つのフラットなネットワークだと、封じ込めの選択肢は「端末を1台ずつ抜く」か「全社を止める」の両極端になりがちです。サーバー群・AIエージェント・一般端末などをセグメントとして分離してあれば、「疑わしいセグメントだけ外向き通信を止め、他は業務を継続する」という中間の選択肢が生まれます。封じ込めの判断が軽くなれば、初動も速くなります。

正直な限界 — 封じ込めは応急処置

最後に強調しておきたいのは、通信を止めても問題は解決していないことです。封じ込めは出血を止める応急処置であり、感染したホストはまだそこにあります。侵入経路の特定（原因調査）、マルウェアや不正アカウントの除去（根絶）、安全を確認した上での復旧は、封じ込めの後に続く別の工程です。「止めたから終わり」と判断して通信を再開すれば、同じことが繰り返されます。

まとめ

• 封じ込めの効果は被害の進行を断つこと。持ち出しやC2通信は到達性がなければ成立しない
• 代償は業務停止・攻撃者への露見・揮発性の証跡を失う可能性。無料の選択肢ではない
• だからこそ事前準備: ①止める基準 ②止める単位 ③判断者 ④記録の確保を文書で決めておく
• セグメント単位で止められる構成にしておくと、「全社を止めずに封じ込める」中間の選択肢が生まれる
• 封じ込めは応急処置。原因調査・根絶・復旧は別工程として続く

Tate（盾）は、接続先をドメイン名で記録し、セグメント単位でポリシーによる遮断を適用できるアプライアンスです。設計の考え方は設計思想・信頼性をご覧ください。