2025年7月28日 / 最終更新日時 : 2025年7月28日 office_y5r18d5t コラム

コラム第884号:「日本企業に必要なインシデントレスポンス指標(MTTD、MTTRなど)」

第884号コラム:名和 利男 理事(日本サイバーディフェンス株式会社 最高技術責任者(CTO))
題:日本企業に必要なインシデントレスポンス指標(MTTD、MTTRなど)

 能動的サイバー防御法が成立したことで、日本企業のインシデントレスポンスは「いかに早く検知し、どれだけ速やかに報告できるか」が法的義務へと格上げされた。本コラムは、経営層が果たすべきガバナンス強化と、現場実務者が担う測定・自動化の具体策を結び付け、MTTD(平均検知時間)や MTTR(平均復旧時間)といった時間系指標を再定義する。読後には、自社の指標が法律・ガイドライン・業界平均のどこに位置し、どの順序で改善投資を進めるべきかが見通せると思う。

1.法規制が突き付けた“時間圧力”
 2025年5月に公布された能動的サイバー防御法は、基幹インフラ事業者を中心に「兆候を把握した時点で政府に速やかに報告する」ことを求めている。具体的な猶予時間は条文上あいまいだが、政省令案では「数時間以内」の方向で調整が進むと報じられる。通信ログを政府と共有する協定締結も必須となり、検知・報告・共有の各タイムスタンプが監査対象になる構造である。
 一方、経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」は四半期ごとの取締役会報告を求め、金融庁の FISC 安全対策基準は「発覚後24時間以内の初動報告」を推奨する。能動的サイバー防御法はこれらの“床”を押し上げる役割を果たし、結果として社内 KPI の下限値も同法の即時報告要件に合わせざるを得なくなった。
【経営層向けコメント】
 法定報告時間が自社の MTTD を下回れば罰則リスクが顕在化する。まずは「法 ≦ 社内 MTTD」という不等式を満たすかを確認し、達していない場合は追加投資の財務影響まで試算して取締役会に提示したい。

2.フェーズ別指標をどう再定義するか
 NIST SP 800-61 や ISO 27035 が示すインシデントライフサイクルは、準備・検知・分析・封じ込め・復旧・教訓化の六段階で構成される。このうち能動的サイバー防御法が直接拘束するのは検知から報告までの時間である。したがって、平均検知時間(MTTD)と平均対応開始時間(MTTA)をまず短縮し、封じ込め(MTTC)と復旧(MTTR)は既存プレイブックの最適化で追随させるのが現実的な順序となる。
 現場実務者は、SIEM からアラートが発生した瞬間を「検知時刻」、SOAR がチケットを起票した時刻を「対応開始時刻」と定義し、両時刻の差分を日次で自動集計する仕組みを先に整えたい。時間同期のずれやログ改ざんを防ぐため、Linux chrony と Windows NTP を別系統で冗長化し、ハッシュチェーンで監査証跡を保全すると、当局の立入検査にも耐えうる。
【実務者向けコメント】
 SIEM から SOAR への Webhook にアラート ID と ISO 8601 形式の時刻を同梱しておくと、後段のダッシュボード側で計算ロジックを書かずに済む。

3.ベンチマークと目標値の落とし所
 2025年版 Unit 42 インシデントレポートでは、グローバル中央値が MTTD 5日、MTTR 18日と報告された。国内では、金融業界を中心に MTTD 24時間、MTTR 72時間を目安とするケースが多い。自社がいずれの数字にも届かない場合は、企業規模や業界慣行を盾に“例外”を主張するのではなく、まずは「競合中央値の2割短縮」を初期目標に設定し、達成後に漸減させる階段戦略を採ると投資効率が高い。
 経営層が ROI を判断しやすいよう、指標短縮による罰則回避や株価下落抑制を金額換算し、達成コストと並べて示すと合意形成が早まる。

4.ダッシュボードとガバナンス
 経営層向けには四半期ごとの改善率とリスク削減額、現場向けにはリアルタイムのタイムラインを提示する二層ダッシュボードが望ましい。Looker Studio や Power BI を用い、外部ベンチマークとの差を色分けするだけでも直感的な可視化が可能である。取締役会資料には「MTTD 20時間 → 14時間(−30 %)」「罰則想定額 △〇億円」といった経営数字を並記し、指標改善が利益に直結するストーリーを添える。

5.改善ロードマップと演習フィードバック
 能動的サイバー防御法の主要条項は公布後18か月以内に施行される見込みである。2025年度下期に指標棚卸しと MTTD 計測自動化、2026年度上期に SOAR で封じ込めプレイブックを整備し、同年下期に政府連携 API の試行接続を完了させれば、全面施行(2027年想定)前に運用が安定する。
 机上演習では、手動計測していたストップウォッチ方式を廃止し、SOAR のログをそのまま KPI に反映させると改善サイクルが回りやすい。レッド・ブルーチーム演習で取得した攻撃チェーンも YAML 形式で保存し、次回演習の再生シナリオとして活用すれば、改善効果の A/B テストが可能である。例えば、旧手順と新手順で同一シナリオを再生し、MTTD や MTTR の短縮率を比較するイメージである。

おわりに
 能動的サイバー防御法は、これまで自主努力とされてきたインシデント報告と官民連携を義務化した。企業は「発見したら即時報告」という新常識に適応しなければならない。その成否を分けるのは、経営層がリスクと投資を具体的なタイムラインで管理し、現場が測定自動化とプレイブック高速化で応えるという二層の協働である。
 MTTD と MTTR を中心とした時間系指標を再定義し、法律・ガイドライン・業界平均の三点を基準に改善計画を描くことで、2027年の全面施行までに「報告スピードで勝負できる組織」へ転換していただきたい。

【著作権は、名和氏に属します】

カテゴリー
コラム第22期
コラム

前の記事

コラム第883号:「AI推進法からみる令和7年通常国会成立のICT関連法」
2025年7月21日