まずは眺めるだけでもOK インシデントの負担を減らす“画期的なシート”とは？：半径300メートルのIT

ランサムウェアインシデントが大きく世間を騒がせています。もはやいつ被害に遭うかどうか分からない今、事前対策の強化は必要不可欠です。このための画期的なドキュメントが登場したので紹介したいと思います。

[宮田健，ITmedia]

　「サイバー攻撃」はインターネットに1台でもサーバがつながる企業であれば、全く人ごとではありません。明日攻撃がやってくるかもしれませんし、半年前から侵入され続けている可能性もゼロではありません。

　「ウチには重要な情報などないよ」と思う経営者の方もいるかもしれませんが、重要かどうかを判断するのは攻撃者側。攻撃がやってくる、侵入されることを想定して「資産を奪われないため」の対策が必要です。

　どうしても「対策＝ソリューションを買う」と思われがちですが、その前の事前対策として資産の棚卸しや非常時のマニュアル整備、ポリシーの再確認など大きなコストをかけずにできることはたくさんあります。

　今回、こうした事前の対策を強化する上で注目の資料が公開されました。業種や規模を問わず、日本の全企業がチェックすべき資料をひもといていきましょう。

ランサムインシデントの負担を減らす“画期的な仕組み”が登場

　攻撃が発覚したその瞬間から、やるべきことは激増します。初動で的確に動くためには、事前準備が非常に重要になるのです。例えばそのための訓練をし、インシデントをハンドリングするCSIRT体制が十分かどうか、経営層がどのような判断をする必要があるのかなどを把握することは、有事の際に最も貴重なリソースである“時間”を節約する上で大変良い対策です。

　この事前準備の中には、頼れるシステムインテグレーターの窓口を把握したり、社内のインシデント連絡窓口を整備したりといった、コミュニケーション経路の確保も含まれます。

　コミュニケーションの一つとして、関係する監督官庁への「報告」も忘れてはなりません。サイバー攻撃被害に遭った事実を警察に伝える必要がある他、住所氏名に限らず「個人情報」を容易に検索できるように体系的にまとめた個人情報データベースなどを指す「個人データ」が侵害された可能性があれば“速やかに”（3〜5日以内に）個人情報保護委員会への報告が義務付けられています。

個人データ漏えい時は、個人情報保護委員会に“速やかに”報告することが義務付けられている（出典：個人情報保護委員会のWebサイト）《クリックで拡大》

　報告業務は関係する各所によって様式も異なり、同じような内容の個別に報告しなければならないという課題がありました。個人情報保護委員会のように、ごく短い期間で報告が義務付けられているものもありますが、その作業をするのは、事件が発覚し社内があたふたしているタイミングに当たるわけで、被害組織の報告負担が極めて大きいことは想像に難くありません。

　そこで2025年10月1日から、DDoSやランサムウェア事案について所轄官庁や警察、個人情報保護委員会への報告様式を共通化する仕組みがスタートしました。シートを1枚だけ記入することで、主要な報告先にそのままレポートできるため、負担を軽減が期待できます。必要であれば、これを内閣官房国家サイバー統括室にも共有が可能です。

サイバー攻撃による被害発生時のインシデント報告様式の統一（出典：国家サイバー統括室のWebサイト）《クリックで拡大》

ランサムウェアとDDoS攻撃の報告テンプレートを見てみよう

　報告のテンプレートも公開されているため見ていきましょう。まずはランサムウェア事案共通様式です。ここには一般的な組織の情報に加えて、ランサムウェアの被害状況を第三者が把握するために必要な情報をまとめています。攻撃の技術情報としては、ランサムノートや暗号化されたファイルの拡張子、侵入方法などの記入欄が用意されています。

「ランサムウェア事案共通様式」では、ランサムウェアの特徴を記す項目がある（出典：国家サイバー統括室のWebサイトからダウンロードしたシート）《クリックで拡大》

　DDoS攻撃事案共通様式には攻撃の類型を選ぶ選択欄もあります。

DDoS攻撃事案共通様式では、ネットワークへの攻撃種別を確認する欄が用意されている（出典：国家サイバー統括室のWebサイトからダウンロードしたシート）《クリックで拡大》

　ただ、ランサムウェア攻撃やDDoS攻撃被害に遭ったタイミングでこの内容をチェックしようとしても、調査時間がないことは容易に想像できます。だからこそ、これを読み解くのは「平時の今」なのです。平時のタイミングであれば、これらの言わんとすることも“すっと”把握できるのではないでしょうか。

　この様式は非常によくまとまっており事前の準備さえあれば、すぐに報告できるようになっていると思います。現時点でこれらの記入項目を埋められない、埋める方法が分からないということであれば、それは現時点での「可視化」が足りないということでしょう。

　特に「影響を受けたシステム」では、システムの接続形態図を記載しなければなりません。現実として最新版が存在しない組織も多いため事前準備を怠らないようにしましょう。

　報告すべき項目はこれ以外にも多くあります。もし今の時点で何を出せばいいのか分からない、そもそも今存在しない資料があれば、それこそが今進めるべき「セキュリティ対策」です。その意味では皆さんに今こそ、チェックしてほしい最新の資料です。

組織のセキュリティ強化にさらに役立つドキュメントを公開

　もう一つ、おすすめ資料を紹介したいと思います。上記のテンプレートはあくまで「報告」のため。これに加えて組織を強くするため、経営者が何を把握し、判断する必要があるかという参考書があります。それが「サイバーセキュリティ経営ガイドライン」です。何度か同コラムでも紹介しましたが、今回はさらにその付録である「付録C サイバーセキュリティインシデントに備えるための参考情報」を紹介します。

付録C サイバーセキュリティインシデントに備えるための参考情報（出典：経済産業省）《クリックで拡大》

　この資料はインシデント発生時に、経営者がどのような情報を把握すべきか、そして何を判断し、指示するべきかをまとめたものです。ワークシート形式で提供されており、何らかのインシデントが発生した際に、発覚の背景や原因、漏えいしたデータの内容など、項目を埋めることで現状を把握するというものです。これを使うことで、インシデント発生時の外部、内部への報告の基礎資料として活用できます。

付録C サイバーセキュリティインシデントに備えるための参考情報で示されている調査項目（出典：経済産業省）《クリックで拡大》

　このシートを見ると、先に紹介した「サイバー攻撃による被害発生時のインシデント報告様式」と大きな違いがないことが分かります。こちらは報告だけでなく、判断のためにさらに詳細な情報が必要ですので、内部の資料としてまとめるための調査を、経営者から現場に指示する際の助けになるものです。

　これらの資料は、事前の準備として大変有用なものになるはずです。現場主体であるのなら「サイバー攻撃による被害発生時のインシデント報告様式」を、経営者には「サイバーセキュリティインシデントに備えるための参考情報」をお勧めします。できれば、両方の資料に目を通しておくことが望ましいでしょう。

　ランサムウェアやDDoS攻撃も、今や企業の活動を停止し得る「経営リスク」です。このリスクを事前に把握し、最小化できるかどうかは経営手腕にかかっています。そのための事前の策として10分くらいで見渡せるこれらの資料をぜひチェックしてください。それこそが他社との差別化要因になるはずです。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。