--- 制御システム用インシデント報告の手引 --- JPCERT コーディネーションセンター (JPCERT/CC) 2023 年 06 月 29 日 ====================================================================== 1. 報告様式について 1.1 報告様式を使用する目的 1.2 報告様式の入手方法 2. 報告様式に記入する際の注意事項とお願い 3. 報告様式の送信方法と各項目について 3.1 報告の送信先 3.2 報告様式の各項目別の記入方法 4. 具体的なインシデント報告の例について ====================================================================== ---------------------------------------------------------------------- 1. 報告様式について ---------------------------------------------------------------------- - 1.1 報告様式を使用する目的 ----------------------------------------- JPCERT/CC では、制御システム・セキュリティ・インシデントのご報告を頂 いた際の初期対応期間の短縮と、インシデント分類の集計コストを削減するた め、JPCERT/CC で用意している報告様式への記入をお願いしております。ご報 告を頂く際には、報告様式にご記入の上お送り下さい。 - 1.2 報告様式の入手方法 --------------------------------------------- 報告様式一式は、以下の URL をご覧の上、最新版をご利用下さい。 https://www.jpcert.or.jp/ics/form.txt ---------------------------------------------------------------------- 2. 報告様式に記入する際の注意事項とお願い ---------------------------------------------------------------------- 報告様式に記入する際には以下の点にご注意下さい。 - 各項目には可能な範囲で記入して下さい。記入する内容が特定できない、 もしくは公開できない情報である場合には、未記入でも結構です。 - ログ情報に公開を望まない部分がある場合は、 "#" や "*" などログに使 用されていない文字に置き換え、その旨をお知らせ下さい。 - ログ情報などを電子メールに添付される場合は、アプリケーションに依存 しないテキスト形式にてお送り下さい。固有のアプリケーションからの変 換が難しい場合やインシデントの説明に図表等が必要な場合には、印刷し た上で FAX にてお送り下さい。 - JPCERT/CC へのご要望がある場合には、その内容を明確にして下さい。 - 当方を介した関係サイトへの連絡を希望される方で、情報開示の了承がな い場合は、確認のご連絡をさせて頂く場合がございます。 ---------------------------------------------------------------------- 3. 報告様式の送信方法と各項目について ---------------------------------------------------------------------- ご報告をお送り頂く際には、下記 3.2 の解説や記入例を参考に報告様式の 各項目に記入し、全体を電子メールか、印刷したものを FAX にて送信してく ださい。 - 3.1 報告の送信先 --------------------------------------------------- === 電子メールによる報告 送信先には下記のアドレスを記入してください。件名は特に指定はありま せんが、必要であれば ICS Incident Report. としてください。 電子メール: info@jpcert.or.jp - 3.2 報告様式の各項目別の記入 --------------------------------------- === 項目 [1. 連絡先] の記入について [1-1] 「お名前」「組織名称」「部署名」「電話番号」 報告者ご自身のお名前、組織名称、部署名、電話番号をご記入下さい。 なお、組織名称、部署名については、可能な範囲で記入して下さい。 [1-2] 「電子メール」 ご報告の返信先に特に指定があればご記入下さい。電子メールでお送り 頂いた場合は、指定がない限りヘッダの Reply-To: あるいは From: に 返信します。 === 項目 [2. この報告の目的] の記入 JPCERT/CC の対応について、下記 1 から 4 のうち 1 つ選択して下さい。 1: 情報提供 2: 質問 3: 関係サイトへの連絡を希望 原因の特定、拡大および再発の防止等の目的で、アクセスに関係した 各サイトの管理者に通知連絡を行なう際に、今回お送り頂いた情報を そのまま連絡先に対して開示する場合があります。 もし開示にご同意いただける場合には以下の [ ] 内に○をご記入く ださい。ご記入のない場合は、同意がないものとして関係サイトへの 連絡を控えさせていただくことがあることをあらかじめご了承くださ い。 今回の報告に関してログ内容等の情報の開示に同意します [ ] 4: その他 1 以外をご希望の場合は項目 2-2 に具体的な内容を記入して下さい。な お、この項目に記入がない場合は[1: 情報提供]として扱います。ご了承 下さい。 また、 3 をご希望の方は、ログ内容等の情報の開示への同意についての 欄をご確認ください。この項目に記入が無い場合は、他サイトからの報告 状況とも勘案の上、頂いた情報を元に関係サイトへの対応を検討致します。 === 項目 [3. インシデントの情報] の記入について [3-1] インシデントが発生したシステムに関する情報 (1) 「システムの呼称・名称」 インシデントが発生したシステムをさし示すために 貴組織で一般に使われている呼称を記入して下さい。 (例: ○○制御・監視システム ) (2) 「制御対象となる設備・施設」 インシデントが発生したシステムが制御している 設備や施設の概要を記入して下さい。 (例: ○○の供給設備、□□の製造装置 ) [3-2] インシデントの内容、状況などの記入 (1) 「関連するOS・ソフトウエア・ハードウエア」 インシデントの影響を受けたOSやソフトウェア、ハードウエアの名称 及び製造ベンダ名、型名、バージョン番号などを記入して下さい。 (2) 「発生日時」 インシデントが発生したと考えられる日時を記入して下さい。継続中の 場合は、続けて[継続中]と記入して下さい。不明な場合はインシデント を発見した日時を記入して下さい。 (3) 「タイムゾーン(時間帯)」 「発生日時」にて記入した時刻情報のタイムゾーンを記入してください。 形式は JST や UTC+0900 などで構いません。 (4) 自由記入 インシデントの種類や内容、発見方法、対処状況など、インシデントに 関する情報を、以下 (1) から (4) のような内容を盛り込んで記述して 下さい。 (a) 概要 インシデントの概要を説明して下さい。インシデントの種類や内容、状 況について記述して下さい。 (b) 発見方法 インシデントの発見に到った経緯について記述して下さい。典型的な例 を次にあげます。 [保守監視作業] システムの監視時あるいは保守作業の一環でログを確認していて発見。 [外部連絡] 外部から受けた連絡を契機とした調査で発見。 [サービス停止] 一部の機器やサービス、システムの停止ないし動作乱調を契機に調査 調査して発見。 (c) 対処状況 インシデントの対処方法や対応状況などを記述して下さい。対応する予 定の内容でも結構です。 [3-3] 「ログ情報」 該当するログ情報をメールに添付するか枠内に挿入して下さい。ログ情 報はテキスト形式でお願いします。また、ログ情報の読み方について簡 単な説明を記述して下さい。 ---------------------------------------------------------------------- 4. 具体的なインシデント報告の例について ---------------------------------------------------------------------- 具体的なインシデントの内容や、報告の目的別に分けた報告様式の記入例な どを、以下の URL に用意してあります。記入の際の参考としてご覧下さい。 インシデント報告様式の記入例 https://www.jpcert.or.jp/form/samples/icssample.txt __________ Copyright (C) JPCERT/CC. All rights reserved. インシデント報告に関する JPCERT/CC への問い合わせ、ご質問については info@jpcert.or.jp までご連絡下さい。 _________ 改訂履歴 2013-01-21 初版 2018-11-21 改訂 2023-06-29 改訂