
                --- インシデント報告様式記入の手引 ---
             JPCERT コーディネーションセンター(JPCERT/CC)

                           2004 年 6 月 7 日

======================================================================

1. 報告様式について

  1.1 報告様式を使用する目的
  1.2 報告様式の入手方法

2. 報告様式に記入する際の注意事項とお願い

3. 報告様式の送信方法と各項目について

  3.1 報告の送信先
  3.2 報告様式の各項目別の記入方法

4. 具体的なインシデント報告の例について

======================================================================

----------------------------------------------------------------------
1. 報告様式について
----------------------------------------------------------------------

- 1.1 報告様式を使用する目的 -----------------------------------------

  JPCERT/CC では、コンピュータセキュリティインシデントのご報告を頂いた
際の初期対応期間の短縮と、インシデント分類の集計コストを削減するため、
JPCERT/CC で用意している報告様式への記入をお願いしております。ご報告を
頂く際には、報告様式にご記入の上お送り下さい。


- 1.2 報告様式の入手方法 ---------------------------------------------

  報告様式一式は、以下の URL をご覧の上、最新版をご利用下さい。

    http://www.jpcert.or.jp/form/

報告様式のアーカイブのファイル名には、バージョン番号が含まれています。
ファイル名が ".sig" で終わるファイルは、各アーカイブの PGP 署名です。

   form[バージョン番号].zip          (Windows 環境の方)
   form[バージョン番号].tar.gz       (Unix 環境の方)


----------------------------------------------------------------------
2. 報告様式に記入する際の注意事項とお願い
----------------------------------------------------------------------

  報告様式に記入する際には以下の点にご注意下さい。

  - 各項目には可能な範囲で記入して下さい。記入する内容が特定できない、
    もしくは公開できない情報である場合には、未記入でも結構です。

  - ログ情報に公開を望まない部分がある場合は、 "#" や "*" などログに使
    用されていない文字に置き換え、その旨をお知らせ下さい。

  - ログ情報などを電子メールに添付される場合は、アプリケーションに依存
    しないテキスト形式にてお送り下さい。固有のアプリケーションからの変
    換が難しい場合やインシデントの説明に図表等が必要な場合には、印刷し
    た上で FAX にてお送り下さい。

  - JPCERT/CC へのご要望がある場合には、その内容を明確にして下さい。

  - 当方を介した関係サイトへの連絡を希望される方で、情報開示の了承がな
    い場合は、確認のご連絡をさせて頂く場合がございます。


----------------------------------------------------------------------
3. 報告様式の送信方法と各項目について
----------------------------------------------------------------------

  ご報告をお送り頂く際には、下記 3.2 の解説や記入例を参考に報告様式の
各項目に記入し、全体を電子メールか、印刷したものを FAX にて送信してく
ださい。


- 3.1 報告の送信先 ---------------------------------------------------

  === 電子メールによる報告

    送信先には下記のアドレスを記入してください。件名は特に指定はありま
    せんが、必要であれば Incident Report. としてください。

      電子メール: info@jpcert.or.jp


  === FAX による報告

    FAX をご利用の場合は以下の FAX 番号にお送り下さい。手書きで記入さ
   れる場合には楷書ではっきりとご記入下さい。

      FAX: 03-3518-2177


- 3.2 報告様式の各項目別の記入 ---------------------------------------

  === 項目 [1. 連絡先] の記入について

    [1-1] 「お名前」「組織名称」「部署名」

      報告者ご自身のお名前、組織名称、部署名をご記入下さい。なお、組織
      名称、部署名については、可能な範囲で記入して下さい。


    [1-2] 「電子メール」「FAX」

      ご報告の返信先に特に指定があればご記入下さい。電子メールでお送り
      頂いた場合は、指定がない限りヘッダの Reply-To: あるいは From: に
      返信します。


  === 項目 [2. この報告の目的] の記入

     JPCERT/CC の対応について、下記 1 から 4 のうち 1 つ選択して下さい。

     1: 情報提供
     
     2: 質問
     
     3: 関係サイトへの連絡を希望
     
        原因の特定、拡大および再発の防止等の目的で、アクセスに関係した
        各サイトの管理者に通知連絡を行なう際に、今回お送り頂いた情報を
        そのまま連絡先に対して開示する場合があります。

        もし開示にご同意いただける場合には以下の [ ] 内に○をご記入く
        ださい。ご記入のない場合は、同意がないものとして関係サイトへの
        連絡を控えさせていただくことがあることをあらかじめご了承くださ
        い。

        今回の報告に関してログ内容等の情報の開示に同意します [  ]

     
     4: その他

     1 以外をご希望の場合は項目 2-2 に具体的な内容を記入して下さい。な
     お、この項目に記入がない場合は[1: 情報提供]として扱います。ご了承
     下さい。
     また、 3 をご希望の方は、ログ内容等の情報の開示への同意についての
     欄をご確認ください。この項目に記入が無い場合は、他サイトからの報告
     状況とも勘案の上、頂いた情報を元に関係サイトへの対応を検討致します。

  === 項目 [3. 発生したインシデントの概要] の記入について

    [3-1] アクセス元に関する情報

      (1) 「IP アドレス、ホスト名など」

      ログ情報などから抽出したアクセス元の IP アドレスまたはホスト名を
      記入して下さい。アクセス元が複数である場合には、この行を複製して
      各アクセス元ごとに記入して下さい。


    [3-2] インシデントの内容、発見方法、対処などの記入

      インシデントの種類や内容、発見方法、対処状況など、インシデントに
      関する情報を、以下 (1) から (4) のような観点で記述して下さい。

**********************************************************************
 (1) 概要

 インシデントの概要について説明して下さい。インシデントの種類や内容に
 ついては、「インシデント報告のガイドライン」(GUIDELINE.txt) の「2.1
 報告の内容について」をご覧下さい。インシデントの種類の判別が困難な場
 合には、インシデントの状況について記述して下さい。


 (2) 発見方法

 インシデントを発見した状況について記述して下さい。例えば、以下のよう
 な状況で発見されることが考えられます。

  [保守作業]
    保守作業の一環としての、システムの監視時あるいはログの確認時の発見。

  [外部連絡]
    外部からの連絡による発見。

  [サービス停止]
    サービスやシステムの停止による発見。


 (3) アクセス頻度

 アクセスが集中した時間やインシデントが発生した頻度などの情報があれば
 記述して下さい。


 (4) 対処状況

 インシデントの対処方法や対応状況などを記述して下さい。対応する予定の
 内容でも結構です。

**********************************************************************


    [3-3] インシデントが発生したシステムについて

      (1) 「IP アドレス 又は ホスト名」

      システムに割り振られた IP アドレスを記入して下さい。システムが複
      数である場合には、この行を複製して、各 IP アドレスごとに記入して
      下さい。また、ネットワーク全体が影響を受けた場合にはネットワーク
      アドレスを記入して下さい。ホスト名についても同様です。


      (2) 「プロトコル又はポート」

      アクセスを受けたプロトコル、ポート番号を記入して下さい。複数のポー
      トが影響を受けた場合には、各ポートごとにこの行を複製するか、一行
      に列挙して下さい。


      (3) 「関連ソフトウェア」

      サーバプログラムなど、影響を受けたソフトウェアの名称及びバージョ
      ン番号を記入して下さい。


      (4) 「ハードウェア/OS」

      ご利用されているハードウェアの情報(型名、ベンダの情報)を記入して
      下さい。

      また、OS の種類とバージョン番号を記入して下さい。例えば Linux で
      あればディストリビューション名とバージョン番号も記入して下さい。


      (5) 「発生日時」

      インシデントが発生したと考えられる日時を記入して下さい。継続中の
      場合は、続けて[継続中]と記入して下さい。不明な場合はインシデント
      を発見した日時を記入して下さい。


      (6) 「タイムゾーン(時間帯)」

      「発生日時」にて記入した時刻情報のタイムゾーンを記入してください。
      形式は JST や UTC+0900 などで構いません。


      (7) 「ログ情報」
 
      該当するログ情報をメールに添付するか枠内に挿入して下さい。ログ情
      報はテキスト形式でお願いします。また、ログ情報の読み方について簡
      単な説明を記述して下さい。説明に間違いがないかどうかの確認もお願
      いします。



----------------------------------------------------------------------
4. 具体的なインシデント報告の例について
----------------------------------------------------------------------

  具体的なインシデントの内容や、報告の目的別に分けた報告様式の記入例な
どを、以下の URL に用意してあります。記入の際の参考としてご覧下さい。

    インシデント報告様式の記入例
    http://www.jpcert.or.jp/form/samples/

__________

Copyright (C) 2003-2004, by JPCERT/CC. All rights reserved.

  インシデント報告に関する JPCERT/CC への問い合わせ、ご質問については
info@jpcert.or.jp までご連絡下さい。
_________

改訂履歴

2004-06-07  報告様式改訂に伴う変更
2003-06-30  FAX 番号の変更
2003-05-01  初版  JPCERT/CC へのインシデント報告様式記入の手引