共通様式の基本構成
- 攻撃発生→被害認知
- 初動対応:被害範囲の確認/サービス停止判断/顧客・取引先対応/外部専門家への調査依頼
- 第一報:基本項目(1〜11)を記載し、速やかに関係者へ通知(注意喚起と二次被害防止が目的)
- 原因調査:侵害原因、システム脆弱性の確認、被害詳細の把握
- 第二報以降:分類に応じた追加票で確定情報を更新・共有
- 最終報告:再発防止策と実施状況まで記載し、安心感と横展開に資する
最初の3時間でやる5ステップ
- 指揮系統の確立:単一責任者を任命し、経営・CSIRT・ベンダを同報起動。
- 被害範囲の把握(仮):停止中サービス/影響システム/事業影響をスナップショット記録。
- 封じ込め判断:ネットワーク分離、公開サービス一時停止、アカウント凍結など安全側に倒す。
- 第一報の叩き台:時刻・症状・影響可能性・初期対処・窓口を1枚に集約。
- 証跡保全:ログ/メモリ/暗号化拡張子名/脅迫文スクショの原本保全(読み取り専用媒体)。
第一報までに揃える最低限データ
- 発生(検知)日時/初期症状(DDoSの遅延・エラー、端末画面の脅迫文 等)
- 影響サービス(停止・遅延・品質低下)と顧客影響の可能性
- 初期対処(遮断・停止・告知)
- 連絡先(専用メール・電話・進捗更新URL 等)
ランサム想定
- ランサムノートの要旨(別紙でスクショ添付)
- 暗号化拡張子の種類(例:.locked など)
- リークサイト掲載の有無/身代金要求の有無
DDoS想定
- 攻撃類型(MITRE):T1498(直接フラッド/リフレクション)/T1499(Endpoint DoS)
- 観測メトリクス:pps/bps/エラー率
- 暫定緩和策:WAF/Rate Limit/CDN/上位ISP連携
まとめ
- 第一報の目的は周知と二次被害防止。仮情報でも早く出す。
- 記録・保全・封じ込め・連絡の4本柱を同時並行で。
FAQ
- Q. 第一報に確定数値が無いのですが?
- A. 仮の範囲で可。確度を明記し、第二報で更新します。
- Q. 停止判断の基準は?
- A. 顧客影響が不明なら一時停止>継続。継続時は代替コントロールを併記。
- Q. 外部ベンダ契約が未整備です。
- A. 緊急SOWでログ保全と初動支援だけでも先に依頼しましょう。
記事・相談担当者:井浪(いなみ):Amazon/Kindle 著者ページ
