2025年10月1日、国家サイバー統括室(NCO)はDDoS攻撃・ランサムウェア被害発生時のインシデント報告様式の統一を実施しました。本記事では、もしもサイバー攻撃の被害にあった際に提出が必要となるインシデント報告様式が統一された背景や、記載するために必要な準備についてご紹介します。
インシデント報告様式が統一された背景
サイバー攻撃の被害にあった場合、法律で定められている義務がいくつかあります。具体的には、個人情報の漏えい・滅失・毀損時の報告義務、特定個人情報漏えい等への対応、業法上の事故報告義務、並びに情報通信分野(放送)の報告義務等が挙げられます。また、法令による義務はなくとも、各種約款や規約によりセキュリティインシデント発生時の報告義務が規定されている場合もあります。上場企業には適時開示義務があり、認定個人情報保護団体対象事業者およびプライバシーマーク付与事業者にも独自の義務が存在します。加えて、契約(NDAや委託契約)に基づく相手方への報告義務も該当します。
 |
報告の際には所定のインシデント報告様式の利用が求められますが、報告先となる官公庁が多数存在し、それぞれ異なる報告様式を要求していることから、サイバー攻撃の被害にあった組織には著しい負担が生じていました。 特に、DDoS攻撃やランサムウェア被害等、インシデント発生初期からサイバー攻撃であることが明白な事案については、迅速な初動対応と並行し多数の報告が必要となり、その負荷は非常に大きいものとなっていました。 |
これを受けて、サイバーセキュリティ戦略本部第42回会合(2025年2月5日)では、「現行制度下において喫緊に取り組むべき事項」として被害組織の報告負担軽減(報告様式一元化)が検討事項の一つに掲げられました。その結果、サイバー攻撃に係る被害組織の負担を軽減し、政府の対応迅速化を実現するため、報告様式の共通化・統一化が進められることとなりました。
対象となる報告は2つ
まず1つ目は、DDoS攻撃やランサムウェア事案に関する報告です。個人情報保護法第26条第1項などに基づき、都道府県警察への相談、官公署への報告の際、被害組織は「DDoS攻撃事案共通様式」または「ランサムウェア事案共通様式」を利用でき、または必要に応じて他の様式に添付して提出可能です。提出先や方法は各法令やガイドラインに従う必要があります。
また、内閣官房国家サイバー統括室が国内事案の情報収集を行うため、被害報告者の同意があれば、官公署は内容を共有します。さらに、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第42号「サイバー対処能力強化法」)第5条の施行に合わせて、官民連携基盤を整備し、共通様式での報告窓口を一元化できるよう調整しています。
2つ目はサイバー対処能力強化法に基づく報告です。特別社会基盤事業者が特定侵害事象等を認知した場合、同法第5条の規定に従い、事業所管大臣と内閣総理大臣へ報告する義務があります。これについても、同法施行に合わせて官公署への報告用共通様式を整備し、官民連携基盤の活用によって報告窓口の一元化を進められています。
インシデント報告様式に記載が必要な項目
各インシデント報告様式は、国家サイバー統括室からダウンロードできます。(サイバー攻撃による被害発生時のインシデント報告様式の統一について/国家サイバー統括室 )ランサムウェア事案用の様式本体シートには、事案の発生日時や発覚日時、重要インフラサービスの維持レベル逸脱の有無、他事業者等への波及可能性、サービス提供への影響、想定される最大リスク、時系列での事実経過など、業務への影響に関する情報を記載する欄があります。
また、影響を受けたシステムや攻撃技術に関する情報として、ランサムノート(身代金要求文)、暗号化されたファイルの拡張子、ランサムウェアの累計数、侵入方法、ランサムウェアの特徴なども記載する箇所があります。これらの情報を記入するためには、どのようにサイバー攻撃の被害が発生したかを把握できる環境が必要です。
項目を記入するために必要な環境
サイバー攻撃の被害を防ぐことは大前提として重要ですが、万が一被害を受けた場合に備えた事前準備も不可欠です。インシデント発生時には、攻撃元や進行経路を特定するため、詳細なログ管理・監査環境の構築が求められます。具体的な対策としてはEDR(Endpoint Detection and Response) やNDR(Network Detection and Response) などのセキュリティ対策製品の導入が挙げられます。
しかしながら、これらの製品を導入するだけでなく、緊急時に各セキュリティ製品を活用して迅速に事態を把握・対応できる運用体制の確立が重要です。製品選定と併せ、有事を想定した組織的な運用プロセスの整備が必須といえるでしょう。
セキュリティ対策製品の導入や運用の課題
セキュリティ対策製品の導入には、運用負担や専門人材の不足など、さまざまな課題があります。例えばEDR製品では、誤検知によるアラート対応の負荷が大きく、隔離・駆除機能を備えていない場合は、追加の対応が必要になるケースがあります。また、24時間体制での監視や設定作業、人材育成にも多くのコストと時間がかかり、中小企業では専任組織の設置が難しいケースも少なくありません。
さらに、導入効果を客観的に評価できる指標が限られているため、製品の選定や継続利用の判断が難しくなるという問題もあります。セキュリティ対策製品を効果的に運用するためには、まず運用上の課題を明確にし、それに応じた体制を整備することが重要です。
- 関連コラム記事のご紹介
- EDRの運用の難しさや対応策については下記記事にてご紹介しています。
- https://www.jbsvc.co.jp/useful/security/what-is-fortiedr.html
EDR、NDRの導入や運用はJBサービスにお任せください
インシデント報告様式が統一された背景や、記載に必要な準備についてご紹介しました。まずは、万が一サイバー攻撃を受けた場合に迅速に原因特定や対処ができる体制になっているか、自社のセキュリティ対策状況や体制を見直してみてはいかがでしょうか。
セキュリティ製品の導入を検討していく中で人的リソースの制約などから、導入を断念してしまう企業も少なくありません。JBサービス株式会社では、24時間365日稼働の運用センターSMAC を運営しており、認定ホワイトハッカーを中心とした高度な専門知識を持つセキュリティオペレーションセンター(SOC)を設置しています。EDRやNDRなどセキュリティ対策の強化をご検討中で、運用体制の確立に課題を抱えているご担当者様は、ぜひご相談ください。
