3.8 KiB
3.8 KiB
インシデント事後レポート(テンプレ)
1. 基本情報
インシデントID: INC-YYYYMMDD-XX
発生日 : YYYY-MM-DD HH:MM
検知日時 : YYYY-MM-DD HH:MM
収束日時 : YYYY-MM-DD HH:MM
影響時間 : 約 XX 時間
報告作成日 : YYYY-MM-DD
作成者 : 氏名 / チーム
2. 概要(Executive Summary)
何が起きたか(要約)
本インシデントは、公開されていた Web エンドポイントに対して 不正アクセスが行われた可能性が判明したものです。
現在の状態
当該インスタンスは安全化対応済みであり、
被害拡大の恐れはないと判断しています。
※ 技術詳細は書かず、経営・顧客が読める文章
3. 検知の経緯
3.1 最初の検知内容
- 検知方法(ログ / アラート / 人的発見)
- 検知した事象(例:不審なアクセスログ)
3.2 異常と判断した理由
- 想定外の挙動
- 通常と異なる操作・アクセス
4. インシデントの内容
4.1 種別
- Web侵入
- 認証情報漏えい
- マルウェア感染
- 不正操作
- その他( )
4.2 技術的概要(簡潔に)
認証を伴わないエンドポイントが公開状態となっており、
第三者によるアクセスが可能な状態でした。
5. 発生から対応までの時系列
| 時刻 | 内容 | 備考 |
|---|---|---|
| HH:MM | 異常検知 | |
| HH:MM | インシデント扱いに切り替え | |
| HH:MM | 再起動・際デプロイ宣言 | |
| HH:MM | IP制限設定 | |
| HH:MM | インスタンス再開 | |
| HH:MM | 監視強化 | |
| HH:MM | 収束判断 |
6. 影響範囲(Impact Analysis)
6.1 影響を受けたシステム
- システム名:
- 環境(Prod / Stg / Dev):
6.2 データへの影響
- 個人情報漏えい:なし / あり(調査中)
- 機密情報漏えい:なし / あり(調査中)
- データ改ざん:なし / あり(調査中)
6.3 利用者への影響
- サービス停止:あり / なし
- 性能劣化:あり / なし
7. 原因分析(Root Cause)
7.1 直接原因
IP制限・認証設定が不十分な状態で
管理系機能が公開されていました。
7.2 背景要因
- 設計上の想定不足
- レビュー不足
- 監視・検知ルール不足
8. 実施した対応
8.1 初動対応
- インスタンス停止
- IP制限設定
- アクセス経路遮断
8.2 恒久対応
- 認証必須化
- 管理画面非公開化
- 監視強化
9. 再発防止策
9.1 技術的対策
- WAF / IP制限の常設
- 認証設計の見直し
- Runbook整備
9.2 運用的対策
- 定期的な公開範囲レビュー
- インシデント訓練
- レビュー体制強化
10. 今回の判断に関する評価
侵入元IPが特定できない状況下であったため、
一旦インスタンスを停止し、
入口制御を確実に行った上で再開しました。
本判断は、被害拡大防止を優先した
合理的な現場判断であったと評価します。
👉 ここがあると責任問題になりにくい
11. 今後の課題
- 切らずに安全化できる構成の整備
- ログ可視性の改善
- 初動判断の迅速化
12. 結論(まとめ)
本インシデントは重大被害には至らず、
早期対応により収束しました。
再発防止策を実施し、
同様の事象が発生しないよう対応を継続します。