山崎行政書士事務所 × セキュリティエンジニア｜技術フォロー伴走メニュー

目的

• 事故直後の止血～復旧～段階開通まで、現場SEの意思決定を“技術・法令・業務”の三面から支援

• 文書対応（速報・確報・本人通知・広報）と技術作業のログ化・再現性確保を同時進行

• 行政書士の守備範囲（届出・契約・規程・記録）を軸に、エンジニアが手順/検証/チューニングをハンズオン支援※フォレンジックや訴訟等の法務代理は連携ベンダー・弁護士と共同で実施

1) インシデント“テクニカル・ウォールーム”運用

• 判断基準の整備：隔離/遮断、復旧のゲート、ロールバック条件、既知良品の定義

• 役割と記録：RACI、作業ログ票、意思決定ログ、変更管理票（監査・保険に耐える体裁）

• ツール即応：EDR/端末隔離、メール/ストレージの保持設定、ログ保全（イメージ・メモリ・SIEM）

• 連絡動線：緊急連絡網、一次受けFAQ、想定問答（広報・営業・コールセンター向け）

2) ハンティング＆EDRチューニング（現場で使える即効対策）

• 既知悪性挙動の検出ロジック整備（PowerShell EncodedCommand、影響範囲拡大系、横展開）

• ボリューム抑止：誤検知削減、優先度スコア、当日分MUST対応キューの定義

• 監査イベントの最適化：Windows監査/Sysmon/クラウド監査の粒度と保持期間を調整

• KEV（既知悪用脆弱性）対応の週次運用：露出資産の棚卸し→優先適用→例外管理

3) ID/ADハードニング（復旧と再発防止）

• AD復旧はフォレスト単位のクリーン復旧を原則（部分復旧の禁止）

• 管理者アカウントの棚卸し・MFA強制・非常勤/休眠アカウントの即時無効化

• Tier分離（管理端末・特権アカウント・資産の階層化）、ローカル管理者の統制

• Entra ID/SSOの基本強化（条件付きアクセス、レガシー認証遮断、セッション制御）

4) OT/工場の再稼働フォロー

• IT-OT分離の維持、工程ごとの“最小良品構成”からのクリーン立上げ

• 一時的な紙ベース運用（現品票・ピッキング・便乗り合わせ）と台帳突合の徹底

• EDI代替：暫定CSV仕様（必須項目・桁・照合キー）と二重承認の標準化

5) クラウド／SaaSの安全側運用

• サインイン異常・権限昇格・外部共有の監視プリセット

• テナント設定のベースライン化（セキュリティ既定、監査・保持、アプリ同意制御）

“いま使える”現場用チェック＆雛形

A. 初動チェック（技術）

• 感染疑義端末のネットワーク物理遮断

• バックアップのオフライン化／イミュータブル化

• 監査/ログ収集の有効化（Windows監査、Sysmon、クラウド監査）

• 管理者/休眠アカウントの棚卸し・MFA強制

• 境界機器（VPN/RDP/UTM/WAF）の脆弱性・設定差分の確認

B. Windows 監査（推奨）

• 有効化の要点：プロセス作成、認証、アカウント管理、タスク/サービス変更、ファイル作成/削除

• Sysmon推奨イベント例：1, 3, 6, 7, 8, 10, 11, 12–14, 15, 16–18, 19–22（環境に応じて閾値調整）

C. Linux 監査（推奨）

• auditd：/etc/passwd, /etc/group, /etc/sudoers 監視、setuid実行、カーネルmod、ssh設定変更

• 重要ログ保全：auth.log、secure、audit.log、journalの永続化

サンプル：ハンティング・クエリ（KQL・Microsoft系の例）

1) 影響拡大に使われやすいコマンド検知（端末側）

DeviceProcessEvents
| where FileName in~ ("vssadmin.exe","wbadmin.exe","bcdedit.exe","schtasks.exe","rundll32.exe","powershell.exe","cmd.exe")
| where ProcessCommandLine has_any ("delete shadows","/quiet","/disable","/set","/create","/sc","EncodedCommand","-enc")
| summarize cnt=count(), first=min(Timestamp), last=max(Timestamp) by
    DeviceName, InitiatingProcessAccountDomain, InitiatingProcessAccountName, FileName, ProcessCommandLine
| order by last desc

2) RDP/WinRM 横展開の兆候

DeviceNetworkEvents
| where RemotePort in (3389, 5985, 5986)
| where ActionType in ("ConnectionSuccess","ConnectionAttempted")
| summarize dHosts=dcount(RemoteIP), remotes=make_set(RemoteIP) by DeviceName, InitiatingProcessFileName, bin(Timestamp, 1h)
| order by Timestamp desc

3) 新規ユーザー作成・グループ追加（Windowsイベント）

SecurityEvent
| where EventID in (4720, 4728, 4732, 4726, 4725, 4738)
| summarize events=count() by Computer, EventID, SubjectUserName, TargetUserName, bin(TimeGenerated,1h)
| order by TimeGenerated desc

4) 異常サインイン（クラウド）

SigninLogs
| where ResultType == 0  // 成功
| summarize cnt=count(), countries=make_set(LocationDetails.countryOrRegion) by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(countries) > 1  // 短時間に複数国
| order by TimeGenerated desc

サンプル：Sigmaルール（概念実装・雛形）

title: Suspicious PowerShell EncodedCommand
id: 9f6a1f2d-aaaa-bbbb-cccc-encodedcmd
status: experimental
description: Detects use of PowerShell with encoded commands often seen in intrusions.
author: Yamazaki Admin Office
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\powershell.exe'
    CommandLine|contains:
      - ' -enc '
      - ' -encodedcommand '
condition: selection
level: medium
tags:
  - attack.t1059.001

30-60-90日ロードマップ（技術×文書の並走）

Day 0–7（止血・見える化）

• 隔離・封じ込め、重要ログの採取・保持設定、KQL/Sigmaの“即効”セット投入

• 速報ドラフト、本人通知草案、広報Q&A版1.0、初動ハンドブック配布

Day 8–30（クリーン再構築・限定再開）

• フォレスト前提のADクリーン復旧、最小良品構成で段階開通

• 暫定業務（FAX/CSV）手順と台帳で誤配・重複防止

• 確報ドラフト、再発防止計画、委託先条項（監査権/再委託/越境）見直し案

Day 31–90（定着・強化）

• EASM/脆弱性の定常運用、パッチSLA、KEV追随、EDRチューニング

• 規程群の改訂、教育・テーブルトップ演習、監査チェックで“回る仕組み”に

成果物（抜粋）

• ハンティングPack（KQL 20本＋Sigma 10本）／Sysmon推奨セット

• インシデント初動ハンドブック、意思決定ログ、作業ログ、問い合わせ台帳

• 速報・確報ドラフト、本人通知＆FAQ、広報Q&A、役員説明資料

• 暫定業務（受注/出荷）テンプレ、CSV仕様書、突合台帳、優先順位ポリシー

• 規程・契約（事故対応規程、委託/監査権/再委託条項、プライバシー/クッキー）

体制・料金の考え方

• 対象システム数・拠点・委託構造・ログ/EDRの有無に応じた見積り

• 技術作業はセキュリティエンジニアがハンズオン、行政書士が届出・規程・記録・PMOを担当

• フォレンジック/訴訟/広報会見等は連携ベンダー・弁護士と共同チームで実施