企業法務、危機管理、情報セキュリティ、広報、会計・監査、経営判断を横断し、初動60分から再発防止までを同じ時間軸で整理します。
企業法務、危機管理、情報セキュリティ、広報、会計・監査、経営判断を横断し、初動60分から再発防止までを同じ時間軸で整理します。
技術復旧だけでなく、証拠保全、法務判断、対外説明、再発防止を同時に進める必要があります。
DDoS攻撃を受けた時の実務対応は、単なるサーバ障害対応ではありません。分散型サービス妨害攻撃は、情報資産の三要素である機密性、完全性、可用性のうち、主として可用性を侵害します。EC、金融、決済、予約、医療、公共、物流、ゲーム、SaaS、BtoBポータル、IRサイトでは、サービス停止そのものが売上、信用、契約履行、監督当局対応、投資判断に直結します。
このページでは、初動60分、初日、72時間、30日・60日、再発防止という時間軸に沿って、企業法務、危機管理、情報セキュリティ、広報、会計・監査、経営判断を一体で整理します。重要なのは、攻撃を完全に防げなかった事実よりも、準備不足、連絡不能、ログ欠落、責任分界の不明確さ、説明遅延、根拠のない安全宣言を避けることです。
次の一覧は、DDoS攻撃を受けた企業が同時並行で進める5つの実務を表しています。読者にとって重要なのは、技術担当だけで完結しない論点を最初から並べることで、初動の抜け漏れを防げる点です。各項目から、自社の連絡先、証拠、契約、説明、再発防止の準備状況を読み取ってください。
ISP、CDN、クラウド、DDoS緩和事業者と連携し、攻撃トラフィックを自社に到達させない設計へ切り替えます。
攻撃時刻、ログ、トラフィック量、攻撃ベクトル、脅迫メール、顧客影響、売上影響、社内判断記録を保全します。
刑事被害、契約上の通知義務、個人情報保護法上の報告要否、業法対応、適時開示要否を切り分けます。
顧客、取引先、株主・投資家、メディア、従業員に対し、確認済み事実と更新方針を一貫して伝えます。
事後レビュー、RTO/RPOの見直し、契約、体制、訓練、予算を改善し、次回の危機対応力を高めます。
DDoS、DoS、主要な攻撃類型、ランサムDDoSの意味を、法務担当者にも扱える粒度で整理します。
DDoSは、Distributed Denial of Serviceの略で、日本語では分散型サービス妨害攻撃と呼ばれます。攻撃者が多数の端末、サーバ、IoT機器、ボットネット、反射・増幅サーバなどを利用し、Webサイト、API、DNS、VPN、メール、認証基盤、決済基盤に大量または高負荷の通信を送り込み、正規利用者がサービスを利用できない状態にします。
DoS攻撃は、単一または限定された攻撃源から対象を過負荷にする攻撃を広く指します。DDoSは複数の攻撃源を利用するため、攻撃量が大きく、攻撃元の特定が難しく、防御側の通信回線、機器、アプリケーション、クラウド課金に多面的な負荷を与えます。侵入や情報窃取を伴わないこともありますが、可用性が商品価値である事業では重大な損害になります。
次の表は、DDoS攻撃の主要類型を比較したものです。読者にとって重要なのは、攻撃の層ごとに止める場所、保全すべきログ、顧客影響の見え方が変わる点です。典型例、狙われる箇所、法務・危機管理上の留意点を対応させて読み取ってください。
| 類型 | 典型例 | 狙われる箇所 | 法務・危機管理上の留意点 |
|---|---|---|---|
| ボリューム型攻撃 | UDP Flood、DNS Amplification、NTP Amplification、CLDAP Reflection、ICMP Flood | 回線帯域、ISP、クラウド入口、CDN入口 | 自社サーバの設定変更だけでは止まりにくく、上流ISP、CDN、DDoS緩和事業者との連携が必要です。 |
| プロトコル型攻撃 | SYN Flood、TCP State Exhaustion、GRE Flood | FW、LB、VPN、OSのセッション管理 | ネットワーク機器の限界に先に到達するため、機器ログとNetFlowの保全が重要です。 |
| アプリケーション層攻撃 | HTTP Flood、Slowloris、ログイン、検索、カート、API、SMS送信機能の濫用 | Web、AP、DB、外部API、クラウド課金、SMS課金 | 正規通信に似せるため遮断判断が難しく、利用規約、顧客影響、本人確認、アクセシビリティも関係します。 |
ランサムDDoSでは、攻撃に先立って、仮想通貨を支払わなければ攻撃するといった脅迫メールが届くことがあります。この場面で重要なのは、攻撃者との交渉ではなく、メール全文、ヘッダ、送信元、添付ファイル、暗号資産アドレス、要求額、期限、攻撃対象として記載されたIPアドレス、ドメイン、AS番号を保全し、経営、法務、CSIRT、IT、広報、外部専門家、DDoS緩和事業者、ISP、クラウド、CDNへ即時共有することです。
障害対応と危機対応を分け、初動から確報・改善までの成果物を明確にします。
DDoS攻撃を受けた時の実務対応では、まず障害対応と危機対応を区別します。障害対応はサーバ、ネットワーク、アプリケーションを復旧させる作業です。危機対応は、誰が意思決定し、誰に連絡し、どの情報を公表し、どの法的義務を履行し、どの証拠を残し、どの損害を把握し、どの再発防止を約束するかを決める活動です。
次の表は、DDoS攻撃を受けた後の時間軸と主な成果物を表しています。読者にとって重要なのは、緩和作業と同時に、証拠、法務、顧客説明、経営報告を前倒しで動かす必要がある点です。時間帯ごとに、主目的、主担当、残すべき成果物を確認してください。
| 時間軸 | 主目的 | 主担当 | 成果物 |
|---|---|---|---|
| 0〜15分 | 事象認定、指揮系統起動、重大度判定 | SOC、CSIRT、情シス | インシデントID、初動記録、連絡網起動 |
| 15〜60分 | 緩和開始、証拠保全、社内外連絡 | CSIRT、ネットワーク、クラウド、法務 | DDoS緩和依頼、ログ保全指示、初回社内報告 |
| 1〜24時間 | 顧客影響把握、法務判断、暫定公表 | 法務、広報、IR、営業、CS | 顧客向け文案、法的論点メモ、PPC報告要否判断 |
| 24〜72時間 | 安定運用、追加公表、損害把握 | 経営、財務、法務、監査、IR | 役員会報告、損害概算、適時開示要否検討 |
| 30日・60日 | 確報、再発防止、契約・体制改善 | 経営、CISO、内部監査、法務 | 事後報告書、再発防止計画、規程・契約改定 |
次の時系列は、上の時間軸を実務の順番として表しています。読者にとって重要なのは、復旧だけを追うと、初回説明、法定報告、契約通知、証拠保全が後手に回る点です。各段階で何を完了させるべきかを読み取ってください。
インシデントIDを発行し、指揮官を決め、JSTとUTCで時刻を記録します。
ISP、CDN、クラウド、DDoS緩和事業者へ連絡し、ログ保全指示と初回社内報告を出します。
顧客影響、契約通知、個人情報影響、刑事・行政相談、公表文を並行して検討します。
追加攻撃を監視し、役員会報告、損害概算、適時開示要否を整理します。
事後報告書、再発防止計画、規程・契約改定を確定し、次回演習へつなげます。
初動で避けるべき失敗には、攻撃か通常アクセス集中かを確認しないまま公表すること、緊急連絡先が分からないこと、再起動でログを消すこと、攻撃元IPを犯人と断定すること、部門ごとに異なる説明をすること、個人情報漏えいがないと早期に断言すること、攻撃者への支払いを少人数で検討すること、委託元・委託先の通知分担が未定であることが含まれます。
インシデント指揮官、技術、法務、広報・IR、経営の責任境界を明確にします。
DDoS攻撃を受けた時は、技術担当者だけに意思決定を集中させてはいけません。技術判断、法的判断、顧客判断、経営判断が同時に必要になるため、CISO、情報システム責任者、リスク管理責任者、または危機管理責任者をインシデント指揮官として置きます。
次の表は、DDoS対応におけるRACIの例を表しています。読者にとって重要なのは、誰が実行し、誰が最終責任を持ち、誰へ助言を求め、誰へ共有するかを初動前に決められる点です。領域ごとの責任者を自社体制に置き換えて確認してください。
| 領域 | Responsible ― 実行 | Accountable ― 最終責任 | Consulted ― 助言 | Informed ― 共有 |
|---|---|---|---|---|
| 攻撃検知 | SOC、監視担当 | CISO/IT責任者 | DDoSベンダー、クラウド | 法務、広報、経営 |
| トラフィック緩和 | ネットワーク、クラウド、CDN | CISO/IT責任者 | ISP、DDoSベンダー | 経営、営業、CS |
| 証拠保全 | CSIRT、フォレンジック | 法務責任者/CISO | 外部専門家、警察相談担当 | 経営、監査 |
| 個人情報判断 | プライバシー担当、法務 | 個人情報保護責任者 | 外部専門家、フォレンジック | 経営、広報 |
| 顧客・取引先通知 | 営業、CS、法務 | 事業責任者 | 広報、外部専門家 | 経営、監査 |
| 公表・メディア対応 | 広報、IR | 経営責任者 | 法務、CISO、外部専門家 | 全社 |
| 適時開示判断 | IR、法務、財務 | 代表取締役/CFO | 外部専門家、監査法人 | 取締役会 |
| 警察・JPCERT相談 | 法務、CSIRT | 法務責任者/CISO | 外部専門家 | 経営 |
| 事後改善 | CISO、内部監査、IT | 経営会議/取締役会 | 法務、監査法人、ベンダー | 全関係部門 |
法務部門は、情報の出し方、証拠の残し方、契約上の通知、責任分界、取締役会報告、規制当局対応、顧客とのコミュニケーションを統制します。広報・IR部門は、確認済み事実と調査中事項を分け、防御上不利益な情報を出さず、顧客に必要な行動、代替手段、次回更新時刻、更新履歴を示します。
0〜15分、15〜30分、30〜60分で、認定、連絡、緩和、縮退、説明を進めます。
最初の15分は、技術的に細かく分析する時間ではなく、組織としてインシデントとして扱うことを決める時間です。主要サービスで通常の障害対応では説明できない大量通信がある場合、CDNやWAFなどから異常通知がある場合、顧客から同時多発的に接続不能の問い合わせがある場合、脅迫メールで指定された対象に異常通信が始まった場合、高コスト機能に異常アクセスが集中している場合は、DDoS疑いとして危機対応を起動します。
次の判断の流れは、初動60分に何をどの順番で確認するかを表しています。読者にとって重要なのは、技術的緩和、証拠保全、顧客説明を分離せず、同時に開始する点です。上から順に進めながら、分岐では復旧優先か保全優先かを記録に残す必要があることを読み取ってください。
インシデントIDを発行し、指揮官を決め、JSTとUTCで時刻を記録します。
復旧担当と証拠保全担当を分け、消えやすいログとメトリクスを先に押さえます。
ISP、CDN、クラウド、DNS、DDoS緩和事業者へ、対象FQDN、IP、ポート、攻撃量、維持すべき正規通信を伝えます。
影響が続く場合は、緩和、縮退、説明を同時に実施します。
ステータスページ、顧客通知、営業・CS向けFAQ、社内速報を準備します。
通常化しても追加攻撃、ログ調査、原因確認、事後説明の準備を続けます。
外部事業者へ伝える情報は、攻撃開始時刻、対象FQDN、IPアドレス、ポート、プロトコル、攻撃ベクトル、pps、bps、rps、同時接続数、L3/4中心かL7中心か、正規トラフィックの維持要件、変更可能な範囲、止めてよい機能と止めてはいけない機能、証拠保全が必要なログ種別と保存期間です。30分を超えて影響が続く場合は、緩和、縮退、説明を同時に行います。
自社だけで防がず、上流・エッジ・DNS・オリジン保護を契約と設計で確保します。
DDoSの本質は、自社設備に到達する前に過剰な通信を捨てることです。攻撃トラフィックが自社回線を埋め尽くした後で、ファイアウォールやサーバ設定を変更しても間に合わないことがあります。したがって、上流での防御を契約・設計として確保しているかが決定的に重要です。
次の一覧は、法務が理解しておくべき代表的な防御策を表しています。読者にとって重要なのは、技術名そのものではなく、どの契約、どの運用、どの顧客影響に結びつくかを確認できる点です。各手段から、緊急時に誰へ連絡し、どの判断を経営へ上げるべきかを読み取ってください。
エッジ分散、キャッシュ、WAF、Bot対策により、オリジンへ届く前に通信を調整します。
上流対策誤遮断注意Web、メール、API、VPN、決済、SaaS連携の急所となるDNSを分散し、複数事業者構成も検討します。
可用性上流フィルタリング、BGP FlowSpec、RTBH、スクラビングセンターで攻撃通信を洗浄または破棄します。
緊急連絡IP、ユーザー、APIキー、セッション、国・地域、ASN、URL、HTTPメソッドごとに受け付ける通信量を制限します。
L7対策正規顧客影響CDN経由の通信と承認済み管理ネットワークのみを許可し、オリジンIPの露出を抑えます。
設計確認CDN契約では、DDoS緩和機能、L3/4攻撃とL7攻撃の対応範囲、オリジン保護、WAF、Bot管理、ログ提供、緊急サポート、攻撃時の追加費用、帯域課金、SLA、免責、障害時通知、ログ保存期間、日本語サポート、24時間対応を確認します。レート制限は正規顧客を締め出す可能性があるため、重要顧客のIP範囲、認証状態、APIキー、顧客ID、エラーメッセージ、利用規約・SLAとの整合性を確認します。
DNSはWeb、メール、API、VPN、決済、SaaS連携をまとめて左右する急所です。権威DNSのAnycast化、DDoS耐性のあるDNS事業者、セカンダリDNSまたは複数DNS事業者構成、レジストラアカウントのMFAとロック、DNS変更権限者と承認手順、TTL設定、ゾーンファイルのバックアップを確認します。
ブラックホールルーティングは、特定IP宛の通信を破棄する緊急手段です。正規通信も悪意ある通信も破棄し得るため、対象サービス停止時の売上影響、顧客影響、契約違反、代替手段、顧客通知、後日説明できる記録を踏まえ、経営・法務・事業責任者の承認を得て判断します。
復旧を急ぎながら、後日の刑事相談、保険、監査、顧客説明に耐える記録を残します。
DDoS攻撃を受けた時の実務対応では、復旧を急ぐあまり証拠を失うことが多くあります。後日の刑事相談、損害賠償請求、保険請求、顧客説明、監査、取締役会報告では、攻撃が実在したこと、どの程度の影響があったこと、会社が合理的に対応したことを示す資料が必要です。
次の一覧は、証拠保全の対象を技術ログ以外も含めて整理したものです。読者にとって重要なのは、DDoSの記録は通信量だけでなく、意思決定、顧客影響、公表文、外部事業者とのやり取りまで含む点です。後日説明に使う証跡がどこに残るかを読み取ってください。
攻撃前の通常トラフィック、bps、pps、rps、接続数、CPU、メモリ、DB負荷、エラー率、応答時間を残します。
CDN、WAF、LB、FW、IDS/IPS、DNS、クラウド、アプリ、OS、監視ツールのログを保全します。
脅迫メール、チャット、SNS投稿、外部通知、顧客問い合わせ、攻撃者が指定した期限や対象を残します。
承認、作業指示、設定変更、外部事業者とのやり取り、公表判断、復旧優先判断を時刻付きで残します。
サービス停止時間、問い合わせ件数、SLA違反可能性、売上影響、追加費用、補償、保険請求資料を残します。
ログ保全指示では、CDN、WAF、LB、FW、IDS/IPS、DNS、Web、AP、DB、OS、クラウド監査ログ、監視アラート、設定変更履歴、管理者操作履歴、外部事業者との連絡記録について、ローテーション、上書き、削除、改変、集約時の欠落が生じないよう指示します。期間は少なくとも発生前72時間、発生中、収束後72時間を目安にします。
攻撃元IPアドレスは、踏み台端末、ボットネット、オープンリゾルバ、反射サーバ、NAT、VPN、クラウド、プロキシ、侵害された第三者設備である可能性があります。DDoS攻撃は、電子計算機損壊等業務妨害罪等に該当し、5年以下の拘禁刑等の対象となる可能性があるとされています。警察相談時には、会社情報、攻撃対象、発生日時、影響、攻撃量、攻撃ベクトル、脅迫メール、社内対応経過、損害概算、公表済み内容を整理します。JPCERT/CCへの情報提供は、他組織への注意喚起や相関分析に役立つ可能性があります。
DDoS単体ではなく、同時侵害、通知義務、SLA、投資家影響を切り分けます。
DDoSは主として可用性を害する攻撃です。単にWebサイトが一時的に閲覧しづらくなっただけで、個人データの漏えい、滅失、毀損、またはそのおそれがない場合、個人情報保護委員会への漏えい等報告の対象とは限りません。ただし、DDoSが目くらましとして使われ、別経路で管理画面、VPN、API、クラウド認証、委託先環境に侵入される可能性があります。
次の表は、法務判断で確認する論点を、個人情報、契約、委託、上場会社対応に分けて表しています。読者にとって重要なのは、DDoSという同じ事実でも、法令、契約、投資家説明では判断基準が異なる点です。各列から、調査すべき事実と判断先を読み取ってください。
| 論点 | 確認する事実 | 主な判断 | 残す資料 |
|---|---|---|---|
| 個人情報 | 管理者ログイン、VPN、SSO、DB、ストレージ、API、大量ダウンロード、委託先SaaSの異常 | 漏えい等報告、本人通知、委託元・委託先通知の要否 | 調査範囲、ログ、確認結果、速報・確報判断メモ |
| 契約・SLA | 可用性SLA、月間稼働率、障害通知期限、不可抗力、責任制限、補償、監査協力 | 顧客通知、SLAクレジット、損害賠償、責任分界の判断 | 契約条項、停止時間、問い合わせ件数、影響顧客一覧 |
| 委託先管理 | 委託先・再委託先・クラウド・CDN・DNS・WAFの責任分界とログ提供範囲 | 委託元説明、共同公表、監督官庁・本人対応の分担 | 委託契約、報告メール、技術説明、対応履歴 |
| 適時開示 | 重大なサービス停止、売上影響、損害、補償、監督官庁対応、報道・SNS拡散 | 適時開示、業績予想修正、リスク情報更新の要否 | 損害概算、経営判断、開示要否メモ、取締役会報告 |
個人情報対応では、管理者ログイン、VPN、SSO、クラウド管理コンソール、WAFログ、DBやストレージへの異常アクセス、大量ダウンロード、APIスクレイピング、委託先SaaS側の不正アクセスを確認します。報告対象事態を知った場合、速報はおおむね3〜5日以内、確報は原則30日以内、不正目的の行為による事態では60日以内が目安とされています。契約・SLAでは、可用性SLA、通知期限、不可抗力、責任制限、調査義務、ログ提供、監査協力、公表前の顧客承認を確認します。
委託先管理では、DDoS、サイバー攻撃、可用性障害を含むインシデント定義、初報期限、追加報告の頻度、影響範囲、原因、攻撃類型、緩和策、個人情報影響、復旧見込み、ログ・証跡の保全義務、委託元による監査・質問への協力、公表文の事前確認を平時の契約で定めます。
上場会社では、主力サービスの長時間停止、売上や利益への重要な影響、重要顧客へのサービス停止、個人情報漏えい、不正アクセス、監督官庁対応、報道やSNSでの認知がある場合、適時開示の要否を検討します。開示文では、原因や責任の早期断定、個人情報漏えいの全否定、完全復旧の断定、攻撃者帰属の断定、万全の対策という表現を避けます。
非公開の技術共有、顧客説明、公表・IR、監督官庁対応を目的別に分けます。
DDoS攻撃を受けた時、すべてを公開する必要はありませんが、何も共有しないことも適切とはいえません。非公開の技術情報共有は攻撃緩和や他社被害防止のために行い、顧客・取引先説明は利用者保護と契約履行のために行い、公表・IRは社会的説明や投資判断のために行い、監督官庁・法定報告は法令・業法上の義務履行のために行います。
次の表は、情報共有と公表の相手、目的、内容を整理したものです。読者にとって重要なのは、攻撃IPやパケット特徴のような技術情報を公開説明へそのまま出さず、相手ごとの目的に合わせて情報量を調整する点です。どの相手に、何のために、どの内容を出すかを読み取ってください。
| 区分 | 主な相手 | 目的 | 内容 |
|---|---|---|---|
| 非公開の技術情報共有 | JPCERT/CC、警察、ISAC、DDoSベンダー、ISP、クラウド | 攻撃緩和、他社被害防止、捜査・分析 | 攻撃IP、ASN、パケット特徴、脅迫メール、時刻、IoC、攻撃ベクトル |
| 顧客・取引先説明 | 顧客、委託元、取引先 | 利用者保護、契約履行、代替手段案内 | 影響サービス、発生時刻、利用者への影響、復旧状況、問い合わせ先 |
| 公表・IR | 一般、投資家、メディア | 社会的説明、投資判断、風評抑制 | 事案概要、対応状況、影響見込み、今後の見通し |
| 監督官庁・法定報告 | PPC、業所管庁、金融・通信・医療等の監督当局 | 法令・業法上の義務履行 | 法令上必要な事項、原因、影響、再発防止 |
ステータスページは、自社メインサイトが落ちることを前提に、メインインフラとは独立した環境に置きます。初回公表では、外部からの大量通信に起因するとみられる接続しづらい状態、緩和と復旧対応、確認済みの影響範囲、データへの不正アクセス有無は確認中であること、次回更新時刻を示します。収束後公表では、発生時刻、収束時刻、緩和策、監視継続、個人データ影響の確認範囲、再発防止を示します。
攻撃が続いても最低限の機能を維持するため、縮退運用と代替手段を設計します。
DDoS攻撃を受けた時の実務対応では、元に戻すことだけを目標にしてはいけません。攻撃が継続していても、事業上最低限の機能を維持する設計が必要です。最優先で維持すべきサービス、一時停止してよい機能、代替手段、縮退品質、経営判断へ上げる時点、顧客補償や返金、SLAクレジットの判断基準を事前に決めます。
次の比較一覧は、BCPで決めておくべき項目を表しています。読者にとって重要なのは、DDoSではデータ消失より可用性が中心になりやすい一方、攻撃中のログや取引データが欠落するとRPOも問題になる点です。サービス別に、どの機能を守り、どこまで縮退できるかを読み取ってください。
| 項目 | 決める内容 | 例 |
|---|---|---|
| 最優先サービス | 停止を避ける機能を事業責任者と合意します。 | ログイン、決済、予約確認、医療予約、緊急連絡 |
| 一時停止可能機能 | 高負荷機能や非必須機能を一時停止する基準を決めます。 | 検索、レコメンド、ランキング、動画、帳票、管理画面の一部 |
| 代替手段 | オンライン利用が不安定な場合の受付・処理方法を決めます。 | 電話受付、メール受付、店舗対応、手作業処理、静的ページ、外部フォーム |
| RTO | サービス別の復旧時間目標を決めます。 | 決済API30分、閲覧ページ2時間、管理画面24時間 |
| 許容品質 | 攻撃時の遅延、エラー率、機能縮退、顧客通知基準を決めます。 | 通常1秒、攻撃時5秒以内、15分以上の影響でステータス更新 |
演習は、休日深夜、オリジンIP直接攻撃、DNS攻撃、DDoS脅迫メール、顧客問い合わせ集中、管理者アカウントへの不審ログイン、上場会社の報道・株価影響、委託先攻撃による委託元説明を含めます。攻撃中でも、重要機能の維持、代替手段案内、契約通知、ログ保全、経営判断が同じ時間軸で動ける状態を作ることが重要です。
原因究明だけでなく、なぜ事業影響が拡大したかを分析し、経営改善へつなげます。
DDoSの原因は攻撃者ですが、事後レビューでそれだけを結論にしてはいけません。企業が分析すべきなのは、なぜ攻撃により大きな事業影響が出たのかです。オリジンIPの露出、CDN、WAF、DDoS保護の設定、DNS、認証、API、DB、外部連携のボトルネック、レート制限、監視アラート、緊急連絡先、法務・広報・CS・営業への連絡、顧客説明、ログ、契約通知、SLA判断を検証します。
次の一覧は、事後レビューで見るべき観点を表しています。読者にとって重要なのは、攻撃を受けた事実ではなく、影響を受けた理由と改善策を経営判断に変える点です。各項目から、自社の設計、運用、契約、説明責任の弱点を読み取ってください。
オリジンIPの露出、DNSの単一障害点、CDN/WAFの設定、DDoS保護の切替時間を確認します。
監視アラート、緊急連絡先、承認手順、レート制限、機能停止判断、ログ保存期間を確認します。
顧客説明、ステータスページ、営業・CS向けFAQ、広報・IR、更新履歴の一貫性を確認します。
SLA、障害通知、責任制限、不可抗力、委託先報告、ログ提供、監査協力の条項を確認します。
取締役会報告、内部監査、予算、演習、再発防止計画の期限と責任者を確認します。
事後報告書は、技術報告書と経営報告書を分けます。技術報告書には、タイムライン、攻撃ベクトル、攻撃量、送信元分布、影響システム、ボトルネック、緩和策と効果、ログ・証跡、改善策を含めます。経営報告書には、事業影響、顧客・取引先影響、法的義務の履行状況、公表・通知、損害額、復旧費、補償、保険、取締役会・監査役・内部監査への報告、再発防止投資と期限を含めます。
再発防止策は、DDoS緩和サービスのAlways-on化または即時切替契約、CDN/WAF/Bot管理の設定見直し、オリジンIPの秘匿、DNSの冗長化、レート制限、APIキー管理、ログイン防御、SMS送信制限、ステータスページの外部独立化、緊急連絡先、権限、承認手順、ログ保存期間、委託契約、SLA、障害通知条項、年1回以上の演習、取締役会への年次報告まで具体化します。
最初の5分、30分、1時間、24時間、30日以内に確認する項目をまとめます。
チェックリストは、緊急時に担当者の記憶へ依存しないための道具です。読者にとって重要なのは、DDoS攻撃中は技術対応に注意が偏りやすく、法務、顧客、契約、個人情報、経営報告の項目が漏れやすい点です。次の時系列から、どの時点で何を確認するかを読み取ってください。
監視アラート、顧客問い合わせ、外部通知を確認し、インシデントID、JST・UTCの発生時刻、指揮官、緊急連絡、ログ保全、直近変更作業との関係を確認します。
FQDN、IP、ポート、プロトコル、CDN、WAF、LB、FW、DNS、クラウドのメトリクス、外部事業者への緊急連絡、正規通信との区別方針、脅迫メールの有無を確認します。
顧客向け初報、社内FAQ、個人情報・秘密情報・不正アクセスの疑義、契約上の通知義務、警察、JPCERT/CC、保険会社への相談要否、経営層への初回報告、更新頻度を確認します。
緩和効果、顧客影響、問い合わせ件数、停止時間、ログ調査、個人情報保護法、業法、監督官庁、適時開示、公表文の整合性、外部支援要否を確認します。
技術報告書、経営報告書、損害額、追加費用、SLAクレジット、確報期限、取締役会・監査役・内部監査への報告、契約・規程・手順書改定、再発防止計画、次回演習日を確認します。
法務・危機管理メモは、発覚日時、発見者、攻撃対象、影響、攻撃概要、顧客影響、個人情報影響、契約通知、法定報告、公表、証拠保全、次回判断を1枚で追える形にします。経営会議向け報告メモでは、事案概要、事業影響、技術的状況、法的論点、対外説明、損害概算、経営判断事項、再発防止を分けて示します。
次の表は、法務・危機管理メモと経営報告メモに入れる項目を表しています。読者にとって重要なのは、技術情報だけでは意思決定できず、事業影響と法的論点を同じ資料で見られるようにする点です。初動メモと経営報告で粒度を変えることを読み取ってください。
| 資料 | 主な項目 | 使い方 |
|---|---|---|
| 初動法務メモ | 事案名、発覚日時、発見者、攻撃対象、影響、攻撃概要、顧客影響、個人情報影響、契約通知、法定報告、公表、証拠保全、次回判断 | 初動中に事実と未確認事項を分け、法務・広報・経営判断の材料にします。 |
| 経営会議向け報告メモ | 事案概要、事業影響、技術的状況、法的論点、対外説明、損害概算、経営判断事項、再発防止 | 追加投資、機能停止、補償、公表、当局対応を経営判断へ上げます。 |
企業法務担当者が迷いやすい論点を、一般情報として整理します。
一般的には、DDoSは可用性を害する攻撃であり、個人データの漏えい等がない場合は、直ちに報告対象事態とは限らないとされています。ただし、不正アクセス、情報窃取、個人データの毀損・滅失が同時に疑われる場合は、報告対象事態に該当する可能性があります。具体的な対応は、ログや影響範囲を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、攻撃元IPアドレスの公開は慎重に扱う必要があるとされています。踏み台や反射サーバであることが多く、真の攻撃者とは限らないためです。警察、JPCERT/CC、DDoS緩和事業者、ISP等への非公開共有は有用な場合がありますが、公開文では確認済み事実に絞ることが多いです。
一般的には、ランサムDDoSの支払いは推奨されないとされています。支払っても攻撃停止が保証されず、再要求、制裁・AML、反社会的勢力、会計、取締役の善管注意義務、説明責任の問題が生じる可能性があります。脅迫メールを保全し、経営、法務、外部専門家、警察等と相談する必要があります。
一般的には、契約文言、予見可能性、対策可能性、SLAの除外事由、準備状況、顧客説明、復旧努力によって判断が変わるとされています。第三者攻撃であることだけで免責されるとは限りません。具体的には、契約書、障害記録、対応履歴を確認したうえで専門家へ相談する必要があります。
一般的には、必ず開示が必要とは限らず、損害規模、事業影響、投資判断への影響、個人情報漏えい等の併発、報道状況を踏まえて判断するとされています。重要なサービス停止や損害が投資判断に影響する可能性がある場合は、早期にIR、法務、財務、外部専門家で検討する必要があります。
一般的には、確認できている場合は説明してよいとされています。ただし、根拠が曖昧な段階では、外部からの大量通信に起因するとみられる接続障害など、確認済み事実に基づく表現が望ましいです。攻撃であること、攻撃類型、個人情報影響、復旧見込みは確度が異なるため、分けて説明します。
一般的には、自社だけで防ごうとせず、ホスティング会社、クラウド、CDN、DNS、WAF、ISPの緊急窓口を確認することが重要とされています。ステータスページ、顧客向けテンプレート、ログ保存、バックアップ、管理者MFA、オリジンIP保護も整備します。具体的な優先順位は、事業規模とシステム構成で変わります。
一般的には、事業内容によって判断が変わります。海外顧客がいないサービスでは一時的な地域制限が有効な場合がありますが、海外顧客、出張者、VPN、越境サービス、外国語サイト、海外決済、越境ECがある場合は正規顧客を遮断する可能性があります。利用規約、顧客契約、代替手段、期間、理由記録を確認する必要があります。
一般的には、完全復旧という表現は慎重に使う必要があるとされています。攻撃再開の可能性、ログ調査継続、縮退運用、監視強化中であれば、通常利用可能な状態に復旧、監視を継続、一部機能は制限中など、実態に合う表現にします。
一般的には、契約条件によって異なりますが、重大インシデントの可能性がある時点で早期に通知することが望ましいとされています。通知遅延が保険金支払いに影響する場合があり、保険会社指定のフォレンジック会社、専門家、広報支援がある場合もあります。個別契約を確認する必要があります。
平時の規程、連絡先、重要サービス、契約台帳が、攻撃中の対応速度を左右します。
DDoS攻撃を受けた時の実務対応は、攻撃発生後に始めても間に合わないことがあります。平時に、サイバーインシデント対応規程、DDoS専用ランブック、重大度判定基準、ログ保全手順、公表・顧客通知基準、個人情報漏えい等対応手順、警察・JPCERT/CC・監督官庁・保険会社への連絡手順、取締役会・監査役・内部監査報告手順を整備します。
次の一覧は、平時に整備すべき台帳と専門家別の視点を表しています。読者にとって重要なのは、社内ネットワークが使えない場合にも連絡先や契約情報を参照できるようにする点です。どの台帳が、攻撃中のどの判断に使われるかを読み取ってください。
ISP、データセンター、クラウド、CDN、DNS、WAF、DDoS緩和事業者、外部専門家、保険会社、広報会社、警察相談窓口、JPCERT/CC、業界ISAC、監督官庁、重要顧客、委託元・委託先を整理します。
サービス名、FQDN、IP、クラウド、CDN、DNS、WAF、LB、DB、外部API、責任者、顧客数、重要顧客、SLA、通知義務、RTO、縮退可能機能、ログ保存場所を整理します。
契約名、相手方、契約期間、担当部門、セキュリティ事故通知条項、SLA、責任制限、免責、補償、保険、ログ提供、監査、再委託、データ処理、緊急連絡先を整理します。
専任CSIRTや24時間SOCがない場合は、DDoS耐性のあるホスティング、クラウド、CDN、マネージドDNS、WAF、外部専門家連絡先、顧客向けテンプレートを優先します。
経営会議・取締役会レベルの体制、CSIRT、SOC、NOC、法務、広報、IR、内部監査の連携演習、適時開示、業績影響、監査法人連携を手順化します。
金融、通信、医療、電力、交通、公共、決済、個人情報大量取扱業、重要インフラでは、業法、監督官庁、業界ガイドラインを個別に確認します。
専門家別には、弁護士・企業内弁護士、法務・コンプライアンス担当、プライバシー担当、CSIRT/SOC/情報システム部門、広報・IR、財務担当、内部監査、監査役、社外取締役が、それぞれ法的義務、契約通知、ログ保全、対外説明、会計処理、再発防止の役割を持ちます。DDoS攻撃を完全に防ぐことは難しいため、重要サービス、連絡先、契約、ログ、RTO、顧客通知基準を整え、攻撃中に合理的かつ説明可能に対応できる状態を作ります。