初報は「最小構成」で良い。
あとから差分を追補する前提で、通る報告書を最速で作るコツを解説します。


共通で必須の基本情報

  • 事案概要(いつ/どこで/何が止まった・漏れうるか)
  • 影響(顧客・業務・外部パートナー)
  • 初動対策(遮断・隔離・WAF/CDN切替 等)
  • 連絡先(責任者・対外窓口・24h連絡)

ランサム様式の追加項目(新設欄の実務ポイント)

  • ランサムノート: 文言要旨とスクリーンショット。
  • 暗号化ファイルの拡張子: 例).lock / .encrypted など。
  • ランサムウェアの類型: 暗号化の有無/リークサイトやSNSでの漏えい示唆/身代金要求の有無。
  • 侵入方法: 脆弱性悪用/フィッシングメール/不正VPN など。
  • 特徴(インディケータ;IoC): ハッシュ、通信先IP、使用ツール名、関連ログの抜粋。

Tips: 被害端末はネットワークから隔離し、電源は原則落とさない(メモリ証拠保持)。
EDR・サーバ・FW・メールGWのログを時系列で確保。


DDoS様式の実務ポイント(MITREに沿った分類)

  • Network DoS(T1498): ネットワーク全般へのサービス拒否。
  • Direct Network Flood(T1498.001): UDP/TCPフラッド等。
  • Reflection/Amplification(T1498.002): DNS/NTP等の増幅攻撃。
  • Endpoint/Service Exhaustion(T1499.*): OS/HTTP/アプリ層の枯渇。
  • その他/不明: 判定がつかない場合の暫定。

書き方の勘所: 観測トラフィック量(Gbps・pps)継続時間攻撃ベクトル緩和策(CDN切替・ACL・ISP協力など)業務影響(停止/劣化・SLA)を簡潔に。


ログ/証拠保全と差し替え運用

  • 取得元・取得時刻・担当者をメモ(監査対応)。
  • 初報は概数・レンジでも可。確定値は第二報・最終報で差し替え。
  • 個人データ関与は「可能性(レンジ)」→「確定値」の順で更新。

よくあるNG

  • 観測値のソース(機器や観測者)が不明確。
  • 「影響なし」と断定(可用性・信頼性・顧客対応も評価が必要)。
  • ランサム被害端末の電源断による証拠消失。

まとめ

  • 初報は最小構成→追補でOK。
  • ランサムは「ノート/拡張子/類型/侵入経路/IoC」を押さえる。
  • DDoSは「量・型・継続・緩和・影響」を定型化。

FAQ

数値はどの程度の精度が必要?

初報は観測レンジで可。後続レポートで確定値に差し替えます。

ランサムの“類型”は誰が決める?

情報システム・法務・広報で合議。リーク有無は広報判断に直結します。

PPC報告と業法報告は別物?

はい。対象業種は所管省庁への業法報告が別途必要。共通様式で内容整合を保ちます。

LINEで相談するから気軽にご相談ください。