情報セキュリティインシデント対応マニュアル
目的
〔会社名〕の情報資産に関するインシデントが発生した際、初動から復旧・再発防止までの手順を定め、被害を最小化することを目的とします。
「気付いたらまず通報」が原則です。判断に迷う事象でも、自己判断で放置せず必ず通報してください。
インシデントの定義
以下のいずれかに該当する事象をインシデントとします。
| 種別 | 例 |
|---|---|
| 情報漏洩 | メール誤送信、USB メモリ紛失、SNS への業務情報投稿 |
| 不正アクセス | 心当たりのないログイン通知、改ざん、サービス乗っ取り |
| マルウェア感染 | ウイルス警告、不審ファイル実行、ランサムウェア |
| 物理的事故 | PC 紛失・盗難、書類の置き忘れ |
| なりすまし | 取引先を装った請求書、社員を装ったメール |
| その他 | 上記に準ずる、または判断に迷う事象 |
初動フロー
Step 1:被害拡大の防止(5 分以内)
マルウェア感染・不正アクセスが疑われる場合:
- 該当端末を ネットワークから即座に切り離す(Wi-Fi OFF / LAN ケーブル抜去)
- 端末の電源は 切らない(揮発性の証拠保全のため)
- 自己判断でファイル削除・再起動・ウイルススキャンをしない
物理的紛失の場合:
- リモートロック・リモートワイプを情報システム担当に依頼
- 警察への遺失物届を提出(顧客情報を含む場合は当日中)
Step 2:通報(15 分以内)
以下のいずれかの方法で通報してください。深夜・休日でも遠慮なく 連絡してください。
- 緊急連絡先:〔セキュリティ緊急連絡先〕
- メール:〔セキュリティ通報メール〕
- 社内チャット
#security-incidentチャンネル
通報時に伝える情報:
- 発生日時・場所
- 何が起きたか(簡潔に)
- 影響範囲(推定で可)
- 連絡者の氏名・連絡先
一次対応(CSIRT)
通報を受けた CSIRT(Computer Security Incident Response Team)が以下を実施します。
- 事象の確認・記録
- 影響範囲の特定(影響ユーザー数・データ種別・期間)
- 法務・広報への連携判断
- 顧客・監督官庁への通知要否判断(個人情報漏洩は 発覚から 72 時間以内に個人情報保護委員会へ報告)
通報者は CSIRT の調査に全面的に協力してください。
復旧と再発防止
復旧
- 端末初期化・再構築は CSIRT 指示のもと情報システム担当が実施
- パスワード一斉変更が必要な場合は全社員へ周知
再発防止
- 事象から 2 週間以内に「インシデント報告書」を作成
- 必要に応じて規程・マニュアルの改訂、追加研修を実施
やってはいけないこと
- インシデント情報の SNS・社外への共有(事実関係確定前の風評被害を防ぐため)
- 「自分のミスかも」と隠蔽すること(自主申告したインシデントは懲戒の対象としません)
- 上司への報告のみで CSIRT 通報を省略すること
演習
年 1 回、CSIRT 主催で机上演習を実施します。全社員必須参加です。