質問
「ISMAP-LIUクラウドサービス登録規則」第9章において求められる、情報セキュリティインシデント報告を行う際の具体的な方法や基準、項目などを教えてください。
回答
(以下の報告方法については、令和6年1月4日以降に発生を認知した情報セキュリティインシデントについて適用される点、ご留意ください。)
「情報セキュリティインシデント報告(速報)」と、「情報セキュリティインシデント報告書(確報)」とで方法が異なります。それぞれについて説明します。
◆情報セキュリティインシデント報告(速報)の報告方法等について
【報告方法】
次の方法でお願いします。
また、原則①の方法で提出をお願いします。後述の【報告期限】内にISMAPポータルサイトアカウントを持った者が報告を行えない場合のみ、②の方法を許容します。
なお、②の方法で提出された場合、改めて①の方法で提出を求める場合があります。
①ISMAPポータルサイト「クラウドサービス事業者向けの提出・届出」を用いた報告
1.ISMAPポータルサイトにログイン
2.「情報セキュリティインシデント報告」の申請
・クラウドサービス事業者のみなさま > 【ISMAP】各種申請 より「情報セキュリティインシデント報告」を選択します。
・「様式7 情報セキュリティインシデント報告書」に、後述の【報告項目】を記載した任意のファイルを添付します。
※ISMAPポータルサイトの仕様上、何かしらのファイルの添付が必須になります。
図1.
・必要に応じ、追加の添付ファイル、追加連絡先を記入し、「登録」を押下します。
②ISMAPポータルサイトのお問い合わせを用いた報告(ログイン不要)
1.お問い合わせの起票
・ISMAPポータルサイト > お問い合わせ より、必須情報を入力します。
※報告にあたって、下記項目に関しては、以下の通りの記載としていただくよう、ご記入願います。
なお、報告の時系列が分かるよう、報告回数(第〇報)をご記入願います。
お問い合わせ種類:「その他」
お問い合わせタイトル:「情報セキュリティインシデント報告(速報)第〇報」
・「お問い合わせ内容」に後述の【報告項目】を記載し、「登録」を押下します。
図2.お問い合わせによる報告の記載例
【報告基準】
「ISMAP-LIUクラウドサービス登録規則」9.1に規定された以下の基準となります。
登録クラウドサービスについて、言明対象サービスに影響を及ぼしうる情報セキュリティインシデントが発生し、かつ以下のいずれかに該当する場合
(1) 登録者が、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」であると判断した場合
(2) ISMAP運用支援機関が、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」であると判断した場合
※なお、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」の詳細は、以下のFAQをご覧ください。
・「ISMAPクラウドサービス登録規則」及び「ISMAP-LIUクラウドサービス登録規則」第9章において、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」として報告が必要となる場合
【報告項目】
速報の報告項目は、「ISMAP-LIUクラウドサービス登録規則」別紙1(1)報告項目における登録規則9.2(速報)欄が「○」の項目です。(表1)
表1. 情報セキュリティインシデントに関する報告項目
| 報告項目 | 登録規則9.2(速報) | 登録規則9.3(確報) |
| クラウドサービス事業者名 | 〇 | 〇(様式7) |
| 登録クラウドサービスの名称 | 〇 | 〇(様式7) |
| インシデント対象のクラウドサービス(リージョン) | 〇 | 〇 |
| 報告時点(報告回数) | 〇 | |
| インシデントの認知日時 | 〇 | |
| 発生事象 | 〇 | |
| 影響範囲 | 〇 | |
| インシデントの発生原因(概要) | 〇 | |
| インシデントの発生、認知、復旧作業経過等の対応状況、復旧(予定)日時 | 〇 | |
| インシデント発生年月日・時刻 | 〇 | |
| 復旧年月日・時刻 | 〇 | |
| インシデントの全体概要 | 〇 | |
| インシデント原因となったサービスの概要 | 〇 | |
| インシデント発生状況 | 〇 | |
| インシデント対応状況 | 〇 | |
| インシデントの発生原因(詳細) | 〇 | |
| 政府機関への影響有無・内容(回答できない場合には理由を記載する) | 〇 | |
| 再発防止策 | 〇 |
表2. 情報セキュリティインシデント報告(速報)の報告項目詳細
| 報告項目 | 報告内容 | 記入例 |
| クラウドサービス事業者名 | クラウドサービスリストに掲載されているクラウドサービス事業者の社名 | △△株式会社 |
| 登録クラウドサービスの名称 | クラウドサービスリストに掲載されているクラウドサービスの名称 | 〇〇クラウド |
| インシデント対象のクラウドサービス(リージョン) | インシデント対象のサービス・サブサービス、対象のリージョン 報告時点で判明している情報を記載し、詳細が判明し次第、更新版を報告する。 |
〇〇サービス(〇〇リージョン) |
| 報告時点(報告回数) | 本報告の報告時点の年月日及び時刻。日本標準時(JST)以外の場合は、タイムゾーンを明記する。 また、報告回数を第1報から順に記載(報告回数を報告フォームのタイトルに記載している場合は省略可)。 | 20XX/XX/XX YY:YY時点(第〇報) |
| インシデントの認知日時 | インシデントの発生を認知した年月日及び時刻。日本標準時(JST)以外の場合は、タイムゾーンを明記する。 「インシデント発生を認知した日」は、“発見・検知したイベントが、報告対象の情報セキュリティインシデントであると判明した日”を示します。 | 20〇〇年〇月〇〇日〇〇時〇〇分頃 |
| 発生事象 | 当該インシデントの発生事象(把握している内容)を記載する。 追加の情報が判明し次第、更新版を報告する。 | 〇〇サービスが利用不可となっている |
| 影響範囲 | 当該インシデントの影響範囲、利用者について把握している内容を記載する。 判明していない場合は「確認中」である旨を記載し、判明し次第、更新版を報告する。 | 〇〇サービス利用者のうち、△△回線経由で利用している利用者 |
| インシデントの発生原因(概要) | 当該インシデントの発生原因(判明している内容)を記載する。報告時点で発生原因が判明していない場合は「調査中」である旨を記載し、原因が判明し次第、更新版を報告する。 | 外部からの〇〇攻撃によるサービスダウン |
| インシデントの発生、認知、復旧作業経過等の対応状況、復旧(予定)日時 | インシデントの発生から認知、復旧作業の状況、対応の経過等を時系列で記載する。 また、復旧済みの場合は復旧年月日及び時刻。復旧予定が分かっている場合は、復旧予定年月日及び時刻を記載する。日本標準時(JST)以外の場合は、タイムゾーンを明記する。 | XX時XX分:サービス監視によりインシデントの発生を認知 XX時XX分:〇〇対処を開始、復旧予定日時:〇〇日〇〇時頃 (復旧済みの場合)復旧日時:〇〇日〇〇時頃 情報公開URL:https://~~~~~~~~~~~/ |
【報告様式】
上記報告項目が満たされていれば、報告様式は任意です。
原則、日本語での報告としますが、英語での報告でも可とします(ただし、必要に応じ、ISMAP運用支援機関から参考和訳の追加提出を求める場合があり得ます)。
【報告期限】
原則、インシデント発生を認知した日から原則3日以内(行政機関の休日を含まない) 。
※報告内容に追加、更新及び変更等があった場合には、都度報告してください。
※「インシデント発生を認知した日」は、”発見・検知したイベントが、報告対象の情報セキュリティインシデントであると判明した日”を示します。
◆情報セキュリティインシデント報告書(確報)の報告方法等について
【報告方法】
次の方法でお願いします。
・ISMAPポータルサイト「クラウドサービス事業者向けの提出・届出」を用いた報告
1.ISMAPポータルサイトにログインします。
2.「情報セキュリティインシデント報告(速報)」を提出した申請を「申請履歴」から開きます。
3.「情報セキュリティインシデント報告」画面最下部のクリップマーク(図3)から「様式7 情報セキュリティインシデント報告書」及び後述の【報告項目】を記載した情報セキュリティインシデント報告書(確報)に該当する任意のファイルを添付し、「登録」を押下します。
図3.添付ファイルを追加
なお、情報セキュリティインシデント報告(速報)の提出の際に情報セキュリティインシデント報告を起票していない場合、上記「情報セキュリティインシデント報告(速報)の報告方法について」の報告方法①を参考に起票してください。
【報告基準】
「情報セキュリティインシデント報告(速報)」を提出したインシデントに関し、原則、報告書を提出してください。
なお、提出不要の場合には、ISMAP運用支援機関からCSPへ連絡いたします。
【報告項目】
確報の報告項目は、「ISMAPISMAP-LIUクラウドサービス登録規則」別紙1(1)報告項目における登録規則9.3(確報)欄が「○」の項目です。(表1)
表1. 情報セキュリティインシデントに関する報告項目
| 報告項目 | 登録規則9.2(速報) | 登録規則9.3(確報) |
| クラウドサービス事業者名 | 〇 | 〇(様式7) |
| 登録クラウドサービスの名称 | 〇 | 〇(様式7) |
| インシデント対象のクラウドサービス(リージョン) | 〇 | 〇 |
| 報告時点(報告回数) | 〇 | |
| インシデントの認知日時 | 〇 | |
| 発生事象 | 〇 | |
| 影響範囲 | 〇 | |
| インシデントの発生原因(概要) | 〇 | |
| インシデントの発生、認知、復旧作業経過等の対応状況、復旧(予定)日時 | 〇 | |
| インシデント発生年月日・時刻 | 〇 | |
| 復旧年月日・時刻 | 〇 | |
| インシデントの全体概要 | 〇 | |
| インシデント原因となったサービスの概要 | 〇 | |
| インシデント発生状況 | 〇 | |
| インシデント対応状況 | 〇 | |
| インシデントの発生原因(詳細) | 〇 | |
| 政府機関への影響有無・内容(回答できない場合には理由を記載する) | 〇 | |
| 再発防止策 | 〇 |
表3.情報セキュリティインシデント報告書(確報)の報告項目詳細
| 報告項目 | 報告内容 |
| クラウドサービス事業者名 | クラウドサービスリストに掲載されているクラウドサービス事業者の社名 |
| 登録クラウドサービスの名称 | クラウドサービスリストに掲載されているクラウドサービスの名称 |
| インシデント対象のクラウドサービス(リージョン) | インシデント対象のサービス・サブサービス、対象のリージョン |
| インシデント発生年月日・時刻 | インシデントが発生した年月日及び時刻 |
| 復旧年月日・時刻 | インシデントが復旧した年月日及び時刻 |
| インシデントの全体概要 | 当該インシデントの全体概要を記載(必要に応じて図などを添付する) |
| インシデント原因となったサービスの概要 | 当該インシデントの原因となったサービスの通常時の動作及びインシデント発生時の動作を、両者の差異が分かるよう記載する。 必要に応じて別紙で構成図などを添付する。 |
| インシデント発生状況 | 発生した事象、影響を与えた利用者及び影響を与えたサービスなど、インシデント発生の詳細について記載する。 必要に応じて別紙で影響を与えた利用者のアクセス状況、障害継続時間帯のトラフィックの推移等を添付する。 利用者への及ぼした影響の状況、内容について詳細を記載する。必要に応じて別紙を添付する。 |
| インシデント対応状況 | 当該インシデント発生から収束までに行った措置を、対象者含め、時系列で詳細に記載する。 必要に応じて別紙を添付する。 |
| インシデントの発生原因(詳細) | 当該インシデントの発生原因のほか、インシデントが大規模化・長期化等した場合は、その理由も記載する。 必要に応じて発生原因を図解した資料などを添付する。 |
| 政府機関への影響有無・内容(回答できない場合には理由を記載する) | 当該インシデントによる政府機関への影響有無及び、影響範囲・内容を記載する。 情報提供できない場合はその理由を記載する。(関係各所との情報共有及び状況把握が重要となっており、報告を求めるもの) |
| 再発防止策 | 応急復旧のための暫定対処、今後の再発を防止するための高級対処及び当該改善により期待されるサービスの動作(サービス構成を含む)を、その実施時期とともに記載する。 必要に応じて別紙で再発防止策の実施スケジュール、図などを添付する。 |
【報告様式】
「様式7 情報セキュリティインシデントに関する報告書」に基づく提出とします。
また、速報とは異なり、日本語以外での報告は不可となりますのでご注意ください。
【報告期限】
原則、インシデント発生を認知した日から30日以内。
※報告内容に追加、更新及び変更等があった場合には、都度報告してください。
※「インシデント発生を認知した日」は、”発見・検知したイベントが、報告対象の情報セキュリティインシデントであると判明した日”を示します。
情報セキュリティインシデント報告が必要な場合の例については以下のFAQをご参照ください。
・「ISMAPクラウドサービス登録規則」及び「ISMAP-LIUクラウドサービス登録規則」第9章において、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」として報告が必要となる場合
「ISMAPクラウドサービスリスト登録規則」に基づく情報セキュリティインシデント報告の方法はこちらをご覧ください。
・「ISMAPクラウドサービス登録規則」第9章に基づき、情報セキュリティインシデント報告を行う際の具体的な方法や基準、項目などを教えてください。