改定されたサイバーセキュリティ経営ガイドラインの付録についている、インシデント発生時のガイドラインです。インシデントが発生した際にどの様な行動を取る必要があるのか記載してあるので、非常に参考になります。攻撃・被害の確認をしたら直ちに、被害範囲の確認・関係先への連絡・情報の公表等の初動対応をします。その後、原因調査、情報の公表、再発防止策の実施といった流れになりますが、インシデントが発生する前にこれらの情報を整理しておくことができれば、スピーディな対応・解決に近づける事ができます。事前にどの様な情報を整理しておく必要があるのか、詳細を下記の通り、記載してありますので、是非参考にして下さい。
・被害範囲の確認
・サービス停止有無の判断
・顧客取引先対応
・外部専門企業等への調査依頼
インシデントが発生したことを速やかに周知。
必要に応じてサービス停止や二次被害防止のための注意喚起を行う目的で報告
1 インシデントの分類
ウイルス感染、不正アクセス、(D)DoS攻撃のいずれかを記載。
2事業分類
○○○業
3事業者名(会社名)
事業者名を記入。委託先の場合、委託元を含む関係事業者名も記載。
発生した時点と現時点での事業者の名称が異なる場合には現時点での名称も併記。
4責任者(担当者)
本件に関する責任者および担当者の所属部署、氏名を記載。
5連絡先
本件に関する責任者および担当者の所属部署、氏名を記載。
6発生日
調査により判明した本件の発生日時を記載。
7発覚日
調査により判明した本件の発生日時を記載。
8事案の公表
事案の公表についての実施状況を記載。
※検討中であれば検討中であることを記載。
9事案の概要
原因を含めて、事案の概要を可能な限り詳細に記載。
10経過(時系列)
発生から報告時点までの経過について、時系列で概要を記載。
11被害を受けたシステムの概要
被害を受けたシステムについての用途などを含めた概要を可能な限り詳細に記載。
・侵害原因調査
・システムの脆弱性等の確認
・被害の詳細確認
※インシデントの分類に応じた表を選択
調査の結果、判明した内容を記載インシデントによる被害範囲がおおよそ確定し、
原因が判明した後に、被害を受けた人に対する周知と他組織が同様の攻撃による被害を受けないための情報共有を行う目的で報告
1発覚の経緯
発覚の経緯について概要を記載。自社による検知か(対象のログやアラート)、
第三者による通知か、などを記載。第三者である場合、
セキュリティ監視などの業務委託先によるものか顧客によるものかも記載。
2原因及び経路
情報漏えいに至った原因を記載。
経路については外部ネットワーク経由による第三者によるものか、
内部ネットワーク経由の内部犯行によるものかを記載。
3情報漏えいの有無?
情報漏えいの有無と個人情報を含むか否かの記載。
※調査中であればその旨を記載。
一部判明しているものがある場合は判明時点の日時を添えた上で記載。
4漏えいしたデータの項目及び件数
漏えいしたデータの内容について記載。
また、漏えい等の件数を記載。さらに、個人情報を含んでいた場合にはその件数について
「顧客情報」「従業者情報」「その他の個人情報」の3つに分類してそれぞれ記載。
上記に該当しないデータについても記載。
営業秘密が漏えいした場合は、その影響(事業へのインパクト等)についても記載。
5暗号化等の情報保護措置
漏えいした情報に関し、情報の暗号化などの情報保護のために予め講じられていた
措置の有無について、「措置有」、「一部措置有」、「措置無」、「不明」
にさらに分類し記載する。
*「一部措置有」とは、漏えいしたデータのうち、
一部については暗号化や情報のマスキングなどの措置が行われていた場合を指す。
6漏えい元・漏えいした者
情報の漏えい元に関する情報、漏えいに関わった者
(組織内部の者か否かについて)の情報、意図
(過失によるものか、違反によるものか)について記載。
調査中のため、不明の場合にはその旨も記載。
7情報所有者本人等への対応
情報所有者本人への連絡
有:情報所有者等本人および委託元すべてに通知し、連絡がついた場合。
無:情報所有者等本人および委託元すべてに連絡がついていない場合。
*謝罪の有無については、本項目では除外するものとする。
その他の対応
個人情報の漏えい等事案を受けて行った対応(予定を含む)について、
それぞれ、「カード(銀行、クレジット等)の、差し替え」、
「専用窓口の設置」、「商品券等の配布」、「詫び状の送付(郵送・メール・FAX)」、
「警察への届出(○○署)」などを記載。
いずれにも該当しないものがある場合は、その他として具体的に記載する。
8二次被害
情報漏えいによる二次被害の有無について記載。
有:本人に2次被害が発生している場合は、詳細な内容を記載する。
本人から電話勧誘やダイレクトメールが増えた等の苦情があった場合も、
本項目に記載する。
無:一切の2次被害が発生していない場合。
現時点において確認できていない場合はその旨を記載。
9事業者による対応(再発防止策を含む)
(注:単に「再発防止策の徹底等」の抽象的な記載に留まらず、
当該再発防止策の具体的内容を記載すること。)
漏えいの事案を受けて、実施予定のものも含め、
再発防止策について「組織的・人的安全管理措置」と
「物理的・技術的安全管理措置」と区分して具体的な内容を記載する。
〔組織的・人的安全管理措置〕の例
安全管理責任者、個人情報保護委員会等の設置
個人情報保護に関する社内規定、プライバシーポリシー等の整備
全社員、派遣社員、業務委託先を対象とする個人情報保護教育の実施
定期的な内部監査・外部監査の実施
委託先管理の強化(委託先の選定基準・管理基準の作成、定期検査の実施)
〔物理的・技術的安全管理措置〕の例
外部とネットワーク接続している端末へのファイアウォールの構築
アクセス権限認証の強化(生体認証機能導入)
個人情報アクセス端末を対象に情報漏えい防止ソフトウェアを導入
データ保存の暗号化
個人データへのアクセス状況の監視
10報告先
既に報告を行っている場合には具体的な組織名を記載。法律に基づく場合にはその旨も記載。
再発防止策の検討・実施
最終報
※再発防止策を含む全てを記載被害に対する対応と、その後の再発防止策を含めた事後対策の実施等について、周知を行うことで関係者の安心と、他組織が参考とする目的で報告
関連リンク