セキュリティ事故が起きた時に社内で「何もできない」理由と、思考停止から抜け出すためのVelociraptor活用術

セキュリティインシデントは、何の前触れもなく突然発生します。 「ランサムウェアに感染した」「情報漏洩の可能性がある」といった報告を受けた際、多くの企業の現場担当者は、即座に有効な手を打つことができないという現実に直面します。

「何が起きているのか把握できない」「どこまで被害が及んでいるか調べる手段がない」

LANケーブルを抜いて物理的に遮断することはできても、それ以上の調査や封じ込めを行うための準備が整っていないためです。 なぜ、多くの中小企業ではこうした「インシデント対応の麻痺」に陥ってしまうのでしょうか。

今回は、その構造的な理由を紐解きながら、オープンソースのデジタルフォレンジックツール「Velociraptor」を活用して、コストを抑えつつも社内で迅速な初動対応（トリアージ）行える環境を構築する方法を解説します。

1. セキュリティインシデント初動で「ログがない」致命的ミスとSysmon

「何もできない」最大の理由は、そもそも判断材料となる情報（ログ）が存在しないことです。

多くの企業では、Windows PCを「買ったままの状態」で運用しています。しかし、標準のWindowsイベントログ設定は、インシデント調査には不十分です。 例えば、「どのプロセスが、いつ起動し、どのIPアドレスと通信したか」という最も重要な情報は、デフォルトでは満足に記録されません。あるいは記録されていても、ログのサイズ制限により、数時間から数日で上書きされて消えてしまいます。

犯行現場に防犯カメラもなければ、指紋も残っていない。これでは警察（専門業者）が来ても、犯人（攻撃径路や被害範囲）を特定することは不可能です。

解決策：Sysmonの導入

Microsoftが提供する Sysmon (System Monitor)は、必須のツールです。 標準のイベントログよりも遥かに詳細な、プロセスの生成、ネットワーク接続、ファイルの作成日時変更などを記録できます。

• Sysmon - Windows Sysinternals | Microsoft Learn

Sysmonを導入し、適切な構成ファイル（例えば、著名なセキュリティ研究者であるSwiftOnSecurity氏が公開している設定など）を適用するだけで、調査能力は劇的に向上します。

• SwiftOnSecurity/sysmon-config: SwiftOnSecurity’s Sysmon configuration

2. リモートワーク時代のインシデント対応：遠隔調査の必要性

事故発生時、情報システム担当者がその場にいるとは限りません。テレワーク中の社員の自宅PCかもしれませんし、遠隔地の拠点かもしれません。

「PCを送ってくれ」と言っている間に、数日が経過します。その数日間、感染端末から情報は漏洩し続け、攻撃者は横展開（Lateral Movement）を行い、被害は全社に拡大します。 RDP（リモートデスクトップ）で繋ぎにいくのは危険すぎます（あなたがログインした認証情報を攻撃者に奪われる可能性があります）。

必要なのは、 安全な経路で、遠隔地から端末の内部状態を調査・制御する仕組みです。

3. Velociraptorの使い方：無料で作る最強のインシデントレスポンス基盤

ここで紹介するのは、Googleが開発・メンテナンスを支援しているオープンソースの高度なデジタルフォレンジック・インシデントレスポンス（DFIR）ツール、 Velociraptorです。

• Velociraptor | Digging deeper!

Velociraptorを導入すると、以下のことができるようになります。

1. 全端末への高速な検索（Hunt）: 「特定のファイル名（マルウェア）が存在するPCはどれか？」「特定の不審なIPと通信しているPCは？」といった問いを、全端末に対して数分で問い合わせることができます。
2. アーティファクトの収集: 閲覧履歴、起動プロセス、インストール済みアプリ、Sysmonログなどを遠隔で吸い上げることができます。
3. 隔離（Quarantine）: 感染が疑われるPCを、クリック一つでネットワークから論理的に隔離できます（Velociraptorサーバーとの通信だけを維持し、それ以外の通信を遮断する）。

高価なEDR（Endpoint Detection and Response）製品にはこれらの機能が含まれていますが、予算の限られる中小企業でも、Velociraptorを使えば同等のレスポンス能力を持つことができます。

Velociraptor サーバーの構築例

では、実際にVelociraptorサーバーを構築する手順を紹介します。 Docker Composeを使えば、一瞬で立ち上げることが可能です。

まず、ディレクトリを作成し、構成ファイルを生成します。

mkdir velociraptor
cd velociraptor
# コンフィグ生成のために一時的にコンテナを実行
docker run --rm -it wlambert/velociraptor:latest velociraptor config generate -i > server.config.yaml

生成された server.config.yaml を編集し、Client.server_urls などのIPアドレスやドメインを環境に合わせて修正してください。（※本格運用時はSSL証明書の設定などが必要ですが、ここでは検証用の最小構成を想定します）

次に、管理者ユーザーを作成します。

docker run --rm -it -v $(pwd)/server.config.yaml:/server.config.yaml wlambert/velociraptor:latest velociraptor --config /server.config.yaml user add admin --role administrator
# パスワードを聞かれるので入力してください

そして、以下の compose.yaml を作成します。

services:
  velociraptor:
    image: wlambert/velociraptor:latest
    container_name: velociraptor
    restart: always
    ports:
      - "8000:8000" # GUI用
      - "8001:8001" # クライアント通信用
    volumes:
      - ./server.config.yaml:/server.config.yaml
      - ./velociraptor-data:/velociraptor
    command: velociraptor --config /server.config.yaml frontend -v

起動します。

docker compose up -d

これで、ブラウザから https://<サーバーIP>:8000 にアクセスすれば、Velociraptorの管理画面に入れます（証明書エラーが出ますが、自己署名証明書のため続行してください）。 あとは管理画面からクライアント用のインストーラーを生成し、各PCに配布・インストールするだけです。

これだけで、あなたは「全社員のPCの内部を、リアルタイムに調査し、必要であれば隔離する」という強力な武器を手に入れることができます。

4. 「誰が、いつ、誰に」連絡するかが決まっていない

技術的な「何もできない」の次は、組織的な「何もできない」です。

事故が発覚した時、IT担当者はパニックになります。 「社長に報告すべきか？いや、誤報だったら怒られる」「まずは自分で何とかしよう」 そうして一人で抱え込み、解決できないまま時間が過ぎ、被害が拡大してから報告する。これは最悪のパターンですが、最もよくあるパターンでもあります。

• 誰が：第一発見者が
• 誰に：情報セキュリティ責任者（CISO）あるいはIT管理者に
• どの手段で：電話で（メールやチャットもダウンしている可能性があるため、連絡先を物理的な紙で持っておく）
• いつ：異常を検知してから15分以内に

こうしたシンプルな「連絡フロー（エスカレーションルール）」が決まっていないため、組織として初動が遅れるのです。 また、外部の専門ベンダーと保守契約を結んでいない場合、「誰に助けを求めればいいかわからない」という状況に陥ります。事故が起きてからセキュリティベンダーに電話しても、契約手続きだけで数日かかり、その間にも情報は漏れ続けます。

もし、自社でどのような手順書を作成すればよいかわからない場合は、IPA（独立行政法人情報処理推進機構）が公開しているガイドラインやテンプレートが非常に役立ちます。一から作成するのではなく、これらをベースに自社の状況に合わせてカスタマイズすることをお勧めします。

• IPA: 中小企業の情報セキュリティ対策ガイドライン
  • 付録として「中小企業のためのセキュリティインシデント対応の手引き」が含まれており、インシデント発生時のフローチャートや対応手順のプロトタイプが提供されています。
• IPA: 日常における情報セキュリティ対策及びインシデント発生時の対応
  • 「5分でできる！情報セキュリティ自社診断」など、平時の備えから有事の対応まで網羅されています。

5. 「ウイルス対策ソフトを入れているから大丈夫」という幻想

多くの経営者、あるいはIT担当者でさえ、「ウイルスバスターやESETを入れているから大丈夫だろう」と考えています。

しかし、近年の攻撃（ランサムウェアやEmotetなど）の多くは、正規のツールやコマンドを悪用したり、ゼロデイ脆弱性を突いたりして、従来のアンチウイルスソフトをすり抜けます。 「検知しなかった」＝「安全」ではありません。「検知できなかっただけ」かもしれないのです。

「侵入されることを前提とする」という考え方にシフトしなければ、侵入された時になす術がありません。 だからこそ、前述したSysmonやVelociraptorのような「侵入後の動きを記録・検知・対処する」仕組みが必要なのです。

まとめ：無力感から脱却するために

セキュリティ事故が起きた時に「社内で何もできない」のは、能力の問題ではなく、 準備の問題です。

1. ログを残す：Sysmonを入れて、何が起きたか記録する。
2. 道具を持つ：Velociraptorなどで、遠隔調査・隔離能力を持つ。
3. ルールを決める：誰に連絡し、誰が判断するか決めておく。

今日からできることはあります。まずは自分のPCにSysmonを入れて、どんなログが出るか見てみるだけでも、大きな一歩です。 平時の今こそ、準備を始めてください。

AIへのプロンプト例：

以下のプロンプトをそのままChatGPTやClaudeなどのAIに貼り付けて、あなたの会社の状況に合わせた具体的なアドバイスを引き出してみてください。

# 役割
あなたは高度な知識を持つセキュリティ・インシデントレスポンダー（CSIRTリーダー）です。
中小企業の限られたリソースの中で、オープンソースツールを駆使して脅威に対抗する術を知り尽くしています。

# 状況
私の会社（従業員数50名、Windows環境、Active Directory利用）で、特定のPCから不審な通信が発生している疑いがあります。
記事を参考に「Velociraptor」の導入を検討していますが、まだ平時であり、具体的な運用イメージが湧いていません。

# 依頼
Velociraptor導入後の「初動対応（トリアージ）」について、以下の3点について具体的に教えてください。

1. **最初の30分で実行すべき「HUNT（一斉検索）」のクエリ例 **
   - ランサムウェアの痕跡や、攻撃者がよく使う永続化（Persistence）の仕組み（レジストリやタスクスケジューラ）を検出するための、具体的なVQL（Velociraptor Query Language）を3つ提示し、その意図を解説してください。

2. **「怪しい」と判断するための基準（ベースライン）の考え方 **
   - 全台からプロセス一覧を取得した後、どのようにして「異常」を見つければよいですか？
   - 「正規のsvchost.exe」と「悪意ある偽装プロセス」を見分けるための着眼点を教えてください。

3. **経営層への報告ドラフト作成 **
   - このツールを導入することによる「メリット」と、導入しなかった場合の「経営リスク（機会損失）」を、非技術者の社長にも伝わる言葉で説明するための、1分で読める報告文章を作成してください。