184 lines
3.8 KiB
Markdown
184 lines
3.8 KiB
Markdown
|
||
# インシデント事後レポート(テンプレ)
|
||
|
||
## 1. 基本情報
|
||
|
||
**インシデントID**: INC-YYYYMMDD-XX
|
||
**発生日** : YYYY-MM-DD HH:MM
|
||
**検知日時** : YYYY-MM-DD HH:MM
|
||
**収束日時** : YYYY-MM-DD HH:MM
|
||
**影響時間** : 約 XX 時間
|
||
**報告作成日** : YYYY-MM-DD
|
||
**作成者** : 氏名 / チーム
|
||
|
||
---
|
||
|
||
## 2. 概要(Executive Summary)
|
||
|
||
### 何が起きたか(要約)
|
||
|
||
本インシデントは、公開されていた Web エンドポイントに対して
|
||
不正アクセスが行われた可能性が判明したものです。
|
||
|
||
### 現在の状態
|
||
|
||
```
|
||
当該インスタンスは安全化対応済みであり、
|
||
被害拡大の恐れはないと判断しています。
|
||
```
|
||
|
||
※ **技術詳細は書かず、経営・顧客が読める文章**
|
||
|
||
---
|
||
|
||
## 3. 検知の経緯
|
||
|
||
### 3.1 最初の検知内容
|
||
|
||
* 検知方法(ログ / アラート / 人的発見)
|
||
* 検知した事象(例:不審なアクセスログ)
|
||
|
||
### 3.2 異常と判断した理由
|
||
|
||
* 想定外の挙動
|
||
* 通常と異なる操作・アクセス
|
||
|
||
---
|
||
|
||
## 4. インシデントの内容
|
||
|
||
### 4.1 種別
|
||
|
||
* [ ] Web侵入
|
||
* [ ] 認証情報漏えい
|
||
* [ ] マルウェア感染
|
||
* [ ] 不正操作
|
||
* [ ] その他( )
|
||
|
||
### 4.2 技術的概要(簡潔に)
|
||
|
||
```
|
||
認証を伴わないエンドポイントが公開状態となっており、
|
||
第三者によるアクセスが可能な状態でした。
|
||
```
|
||
|
||
---
|
||
|
||
## 5. 発生から対応までの時系列
|
||
|
||
| 時刻 | 内容 | 備考 |
|
||
| ----- | -------------------------- | ---- |
|
||
| HH:MM | 異常検知 | |
|
||
| HH:MM | インシデント扱いに切り替え | |
|
||
| HH:MM | 再起動・際デプロイ宣言 | |
|
||
| HH:MM | IP制限設定 | |
|
||
| HH:MM | インスタンス再開 | |
|
||
| HH:MM | 監視強化 | |
|
||
| HH:MM | 収束判断 | |
|
||
|
||
---
|
||
|
||
## 6. 影響範囲(Impact Analysis)
|
||
|
||
### 6.1 影響を受けたシステム
|
||
|
||
* システム名:
|
||
* 環境(Prod / Stg / Dev):
|
||
|
||
### 6.2 データへの影響
|
||
|
||
* [ ] 個人情報漏えい:なし / あり(調査中)
|
||
* [ ] 機密情報漏えい:なし / あり(調査中)
|
||
* [ ] データ改ざん:なし / あり(調査中)
|
||
|
||
### 6.3 利用者への影響
|
||
|
||
* サービス停止:あり / なし
|
||
* 性能劣化:あり / なし
|
||
|
||
---
|
||
|
||
## 7. 原因分析(Root Cause)
|
||
|
||
### 7.1 直接原因
|
||
|
||
```
|
||
IP制限・認証設定が不十分な状態で
|
||
管理系機能が公開されていました。
|
||
```
|
||
|
||
### 7.2 背景要因
|
||
|
||
* 設計上の想定不足
|
||
* レビュー不足
|
||
* 監視・検知ルール不足
|
||
|
||
---
|
||
|
||
## 8. 実施した対応
|
||
|
||
### 8.1 初動対応
|
||
|
||
* インスタンス停止
|
||
* IP制限設定
|
||
* アクセス経路遮断
|
||
|
||
### 8.2 恒久対応
|
||
|
||
* 認証必須化
|
||
* 管理画面非公開化
|
||
* 監視強化
|
||
|
||
---
|
||
|
||
## 9. 再発防止策
|
||
|
||
### 9.1 技術的対策
|
||
|
||
* WAF / IP制限の常設
|
||
* 認証設計の見直し
|
||
* Runbook整備
|
||
|
||
### 9.2 運用的対策
|
||
|
||
* 定期的な公開範囲レビュー
|
||
* インシデント訓練
|
||
* レビュー体制強化
|
||
|
||
---
|
||
|
||
## 10. 今回の判断に関する評価
|
||
|
||
```
|
||
侵入元IPが特定できない状況下であったため、
|
||
一旦インスタンスを停止し、
|
||
入口制御を確実に行った上で再開しました。
|
||
|
||
本判断は、被害拡大防止を優先した
|
||
合理的な現場判断であったと評価します。
|
||
```
|
||
|
||
👉 **ここがあると責任問題になりにくい**
|
||
|
||
---
|
||
|
||
## 11. 今後の課題
|
||
|
||
* 切らずに安全化できる構成の整備
|
||
* ログ可視性の改善
|
||
* 初動判断の迅速化
|
||
|
||
---
|
||
|
||
## 12. 結論(まとめ)
|
||
|
||
```
|
||
本インシデントは重大被害には至らず、
|
||
早期対応により収束しました。
|
||
|
||
再発防止策を実施し、
|
||
同様の事象が発生しないよう対応を継続します。
|
||
```
|
||
|
||
|