# インシデント事後レポート(テンプレ) ## 1. 基本情報 **インシデントID**: INC-YYYYMMDD-XX **発生日** : YYYY-MM-DD HH:MM **検知日時** : YYYY-MM-DD HH:MM **収束日時** : YYYY-MM-DD HH:MM **影響時間** : 約 XX 時間 **報告作成日** : YYYY-MM-DD **作成者** : 氏名 / チーム --- ## 2. 概要(Executive Summary) ### 何が起きたか(要約) 本インシデントは、公開されていた Web エンドポイントに対して 不正アクセスが行われた可能性が判明したものです。 ### 現在の状態 ``` 当該インスタンスは安全化対応済みであり、 被害拡大の恐れはないと判断しています。 ``` ※ **技術詳細は書かず、経営・顧客が読める文章** --- ## 3. 検知の経緯 ### 3.1 最初の検知内容 * 検知方法(ログ / アラート / 人的発見) * 検知した事象(例:不審なアクセスログ) ### 3.2 異常と判断した理由 * 想定外の挙動 * 通常と異なる操作・アクセス --- ## 4. インシデントの内容 ### 4.1 種別 * [ ] Web侵入 * [ ] 認証情報漏えい * [ ] マルウェア感染 * [ ] 不正操作 * [ ] その他(     ) ### 4.2 技術的概要(簡潔に) ``` 認証を伴わないエンドポイントが公開状態となっており、 第三者によるアクセスが可能な状態でした。 ``` --- ## 5. 発生から対応までの時系列 | 時刻 | 内容 | 備考 | | ----- | -------------------------- | ---- | | HH:MM | 異常検知 | | | HH:MM | インシデント扱いに切り替え | | | HH:MM | 再起動・際デプロイ宣言 | | | HH:MM | IP制限設定 | | | HH:MM | インスタンス再開 | | | HH:MM | 監視強化 | | | HH:MM | 収束判断 | | --- ## 6. 影響範囲(Impact Analysis) ### 6.1 影響を受けたシステム * システム名: * 環境(Prod / Stg / Dev): ### 6.2 データへの影響 * [ ] 個人情報漏えい:なし / あり(調査中) * [ ] 機密情報漏えい:なし / あり(調査中) * [ ] データ改ざん:なし / あり(調査中) ### 6.3 利用者への影響 * サービス停止:あり / なし * 性能劣化:あり / なし --- ## 7. 原因分析(Root Cause) ### 7.1 直接原因 ``` IP制限・認証設定が不十分な状態で 管理系機能が公開されていました。 ``` ### 7.2 背景要因 * 設計上の想定不足 * レビュー不足 * 監視・検知ルール不足 --- ## 8. 実施した対応 ### 8.1 初動対応 * インスタンス停止 * IP制限設定 * アクセス経路遮断 ### 8.2 恒久対応 * 認証必須化 * 管理画面非公開化 * 監視強化 --- ## 9. 再発防止策 ### 9.1 技術的対策 * WAF / IP制限の常設 * 認証設計の見直し * Runbook整備 ### 9.2 運用的対策 * 定期的な公開範囲レビュー * インシデント訓練 * レビュー体制強化 --- ## 10. 今回の判断に関する評価 ``` 侵入元IPが特定できない状況下であったため、 一旦インスタンスを停止し、 入口制御を確実に行った上で再開しました。 本判断は、被害拡大防止を優先した 合理的な現場判断であったと評価します。 ``` 👉 **ここがあると責任問題になりにくい** --- ## 11. 今後の課題 * 切らずに安全化できる構成の整備 * ログ可視性の改善 * 初動判断の迅速化 --- ## 12. 結論(まとめ) ``` 本インシデントは重大被害には至らず、 早期対応により収束しました。 再発防止策を実施し、 同様の事象が発生しないよう対応を継続します。 ```