「何も起きない日常」を守るために 「感染後」から始まるランサムウェア対応訓練の現場

コーポレート
大型スクリーンに表示されたシステム構成図である。上部に「Operation Status」とあり、「Active Directory」は緑色で「Running」、「Commerce server」は赤色で「Hacked」、「Database server」は青色で「Running」と表示されている。全体はダークトーンの背景に、赤・緑・青などのネオンカラーで構成されたサイバー攻撃対応訓練の画面である。

もし、あなたが使っているサービスが、ある日突然止まったら...。

異常を検知してから、わずか数十分。
「サーバーの挙動がおかしい」「不審なテキストファイルが見つかった」
現場から上がる断片的な報告が、やがて一つの線でつながり、「重大インシデント」の警鐘へと変わります。
刻一刻と迫る暗号化の脅威に対し、誰が指揮を執り、何を優先して守るのか。

2026年3月に実施されたランサムウェア対応訓練は、ユーザーの日常を守るための対応力強化を目的に「すでに感染してしまった」という最悪のシナリオを前提に実施しました。
この訓練が目指したのは、「侵入を防ぐこと」ではなく、侵入された後でも事業を止めないための意思決定力を鍛えることでした。
技術的な「封じ込め」から、経営層への「報告」、そして究極の選択である「サービス再開の判断」まで訓練の一部をご紹介します。

ランサムウェアは「起きてからが本番」

ランサムウェアとは、システムやデータを暗号化して利用できない状態にし、その復旧と引き換えに金銭を要求するサイバー攻撃の一種です。
近年、国内外でランサムウェアによる被害が相次いでおり、企業規模や業種を問わず、サービス停止や情報流出といった影響が発生しています。
その被害は、いまや特定の企業だけの問題ではありません。サービスの停止など、一度被害が発生すれば、その影響は利用者の日常にまで及びます。

そして、どれほど堅牢な城壁を築いても攻撃者はわずかな隙間を見つけ出し、内部へと侵入する可能性があります。ランサムウェア攻撃はいまや「いかに防ぐか」だけでなく、「起きた時にどう被害を最小化するか」を想定し、備えるフェーズへと変わっています。

そのため、LINEヤフーでは、サービス停止や情報流出といった最悪の事態を想定し、ユーザーの日常を一日でも早く取り戻すための対応力強化を続けています。

横一列に並んだ5つの工程を示すイラスト。

今回実施したランサムウェア対応の流れ(イメージ)
異常の検知から、被害の拡大防止、復旧、そしてサービス再開まで、複数の部門が連携しながら対応が進められる

あえて「感染後」から始める実地訓練

今回の訓練の最大の特徴は「すでに攻撃者が内部に侵入し、一部のファイルが暗号化されている」という状況からスタートしたことです。

一般的な訓練のような「手順の確認」に留まらず、参加者は実際に本番に近い環境のログを読み解き、被害範囲を特定しなければなりません。
「何が起きているのかを自分たちで見つけ出す」という、極めて実戦に近い形式が採用されました。

会議室で複数の人がノートパソコンを使いながらグループ作業をしている様子の写真。長テーブルを囲んで多くの参加者が座り、パソコンを操作したり、周囲の人と会話したりしている。

被害の拡大を防ぐための措置、影響範囲の特定、さらには復旧とサービス再開の判断に至るまで、一連の流れを実施。こうした設計にした背景には、「対応方法を知っている」だけでなく「実際に使える対応力」を身につけるという狙いがあります。

今回の訓練は、LINEヤフーの実際の運用プロセスや社内プラットフォームを含めた業務基盤をベースに、Fore-Z社の知見を取り入れながら設計されています。
専用の訓練環境を構築し、脅威シナリオを設計した上で、「誰がどのタイミングで何を判断するか」という意思決定の流れと、それを支える情報共有・連携の仕組みまで含めて再現することで、実際のインシデント対応に直結する訓練となることを目指しました。

サイバーセキュリティインシデント発生時の進行状況とシステム被害状況を示した構成図。

異常はどう「重大インシデント」になるのか

ここからは、実際の訓練の流れの一部をご紹介していきます。

午前11時。ECサービスのアプリケーションサーバーで異常が検知されました。
当初は単なるシステム不具合のようにも見えましたが、SOC(Security Operation Center:システムのログを監視・分析し、異常を検知する専門チーム)による詳細分析で、不審な「ランサムノート(脅迫状)」と、Active Directory(社内の認証やアクセス権限を管理する基盤)への不正なアクセスの痕跡が見つかります。

白い背景の中央に大きく「502 Bad Gateway」と表示され、その下に小さく「nginx/1.28.1」と記載されたエラー画面。

訓練では、サービスが停止した状態を想定

「これは単なるトラブルではない。ランサムウェア攻撃だ」

断片的だった情報がつながった瞬間、会場の空気は一変。全社的な「重大インシデント」として、即座に緊急対策本部が立ち上がりました。

LINEヤフーでは、重大インシデント発生時にはCSIRTを中心に各部門が連携し、状況把握から意思決定までを一体で進める体制をとっています。

セキュリティインシデント対応における各部門の役割を示した4つのカード形式のイラスト。

今回の訓練における役割分担(Fore-Z提供資料より)

緊急対策本部には、CSIRT(Computer Security Incident Response Team:インシデント対応の指揮・統括を担う専門チーム)、SOC、クラウド、サービス開発など、部門の垣根を超えたスペシャリストが集結します。

今回のシミュレーションで明らかになった攻撃の入り口は、「管理外のソフトウエアに存在した未知の脆弱(ぜいじゃく)性」でした。一台の端末のわずかな隙から侵入を許していたのです。

会議室で2人の男性がノートパソコンを前に打ち合わせをしている様子。

現場では、とにかく迅速な判断が求められます。
「二次被害を防ぐために、このサーバーをネットワークから切り離すべき」
「でも、切り離せばサービスは完全に停止してしまう...」
今回の訓練で最も難しかったのは、「正解がない中で意思決定を行うこと」でした。

会議室で複数の男性がノートパソコンの画面を見ながら議論している様子。

ログの分析や異常の検知を担うSOCは、インシデント対応の出発点となる役割を担います。 収集されたログをもとに、何が起きているのかを技術的に読み解き、断片的な事象を一つのストーリーとしてつなぎ合わせていく。その分析結果が、CSIRTの判断や各部門の対応方針の基盤となります。

「SOC分析タイムライン」と題された表形式の資料。

SOC分析タイムライン

CSIRTは各チームからの情報を集約し優先順位を決定します。今は止血が最優先と判断し、論理的なネットワーク遮断、全セッションの無効化、パスワードのリセット...。
被害の拡大を食い止めるための「止血対応」が、次々と実行されていきました。

会議室で男性がノートパソコンを操作している様子。男性は白いシャツを着て、画面に顔を近づけるようにして真剣な表情でキーボードを打っている。

状況が整理され、次に求められるのは被害の拡大を防ぐための対応です。一つの判断の遅れが、被害の拡大につながる可能性もあるため、迅速さと慎重さの両方が求められます。

この段階では、原因の特定や完全な復旧よりも先に、「これ以上被害を広げないこと」が優先されます。どの対応を最優先とするのか、どこまで影響が及んでいる可能性があるのかを見極めながら、迅速に判断が下されていきました。

会議室で男性がホワイトボードを指しながら説明している様子の写真。男性は眼鏡をかけ、青いシャツを着てマイクを手に持ち、右手でホワイトボードの図を指し示している。

また、この時点では技術的な対応だけでなく、影響範囲に応じた報告や対外対応の必要性についても検討が行われます。インシデント対応は、単なる技術課題にとどまらず、組織全体の判断が求められる領域であることがわかります。

会議室で男性が腕を組みながら、前にいる参加者たちの議論を真剣な表情で見つめている様子。

「復旧」と「再開」は別物。ユーザーの安心を支える最後の判断

被害の拡大が抑えられ、状況が整理されると、次は復旧に向けた検討に移ります。
どの時点のデータを基に復旧するのか、どのような方法でシステムを戻すのか。
技術的な観点に加えて、サービスへの影響やユーザーへの影響も踏まえながら、慎重に方針が検討されました。

会議室で人物がノートパソコンを操作している手元の様子。

16時。システムの復旧作業が完了し、技術的にはサービスを再開できる状態になりました。
最後に問われるのが、「サービスを再開してよいか」という判断です。

システムが復旧したとしても、それだけで直ちに再開できるとは限りません。再び問題が発生するリスクはないか、ユーザーへの影響は許容できる範囲か。複数の観点から総合的に判断し、最終的な意思決定が行われます。

インシデント対応において、「復旧(データのリストア)」と「再開(ビジネスの再始動)」は同じではありません。

「再侵入のリスクは許容範囲内か」「ユーザーへの説明責任は果たせているか」。
ビジネス上の影響とセキュリティリスクをてんびんにかけ、議論を重ねます。
単に「動くようになったから再開する」のではなく、確かな根拠を持って「Go」を出す。この意思決定プロセスこそが、組織の命運を分けるということを、参加者は改めて実感したようです。

なお、実際のインシデント対応では、今回の訓練のように短時間で状況が整理されるケースばかりではありません。現場からは、「実際には数週間単位で対応が続くこともあり、より不確実な状況の中で判断が求められることが多い」といった声もありました。

室内の作業スペースで男性がノートパソコンを操作している後ろ姿。

今回の訓練では、すべてが想定通りに進むわけではありませんでした。情報の整理に時間がかかった場面や、判断に迷いが生じた場面も見られました。しかし、そうした「迷い」こそが、実践的な訓練において重要な意味を持ちます。

限られた情報の中で考え、判断し、連携する。そのプロセスを通じて、初めて見えてくる課題があります。当日は、復旧が可能である前提に立つのではなく、「もしバックアップが使えなかった場合、どう備えるべきか」といった視点での議論も行われていました。
今回のように、検知から復旧、そしてサービス再開の最終判断までを一連で検証する訓練は、LINEヤフーとしても大きなチャレンジでした。

何も起きない日常を守るために

「何も起きない日常」の裏側では、さまざまな想定と準備が積み重ねられています。また、部門をまたいだ連携や、互いの役割を理解しておくことの重要性も、今回の訓練を通じてあらためて実感されました。

本訓練を担当したFore-Zの中谷さん、LINEヤフーの今井は、次のように話します。

中谷さんの写真

株式会社フォアーゼット(Fore-Z)
執行役員 中谷 圭佑さん

実際のセキュリティインシデント対応で生じる迷いやプレッシャー、そして正解のない決断を下す難しさは、実体験を通してでしか学ぶことができません。だからこそ今回は、本番さながらのリアルで実践的な訓練環境・シナリオをご用意することにこだわりました。
生成AIの急速な発展がサイバー空間の脅威を根底から変容させつつある今、実践的な訓練を通じて組織の『対応力と判断力』を徹底して鍛えることが、これからの時代の最大の備えになります。

今井さんの写真

LINEヤフー ランサムウェア対応訓練プロジェクトマネージャー
今井 健太(いまい けんた)

技術的な対応だけでなく、誰が何を判断し、どう連携するのか。その部分こそが、インシデント対応の難しさであり、今回の訓練で最も重視した点です。
今回の訓練を通じて見えてきた課題や気づきを、現場での改善につなげていくことが重要だと感じています。また、本訓練は部門の垣根を越えた多くの関係者の協力のもとで実現しました。限られた時間の中でも、訓練の目的や必要性を丁寧に共有しながら準備を進めてきた点も、今回の取り組みを支えた要素の一つです。
今後も現場の皆さんと連携しながら、対応力の向上に取り組んでいきたいと考えています。

セキュリティ対策は、一度整えれば終わりではありません。こうした取り組みを継続し、改善を重ねていくことが、対応力の向上につながっていきます。

「何も起きない日常」を守るために。
その裏側では、最悪の事態を前提にした意思決定の訓練を、これからも続けていきます。

取材日:2026年3月26日
文・写真:LINEヤフーストーリー編集部
※本記事の内容は取材日時点のものです

「LINEヤフー ストーリー」のロゴ
LINEヤフーストーリーについて
みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、「WOW」や「!」を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。
一覧に戻る
Page top