インシデント報告書の書き方と社内共有のコツ再発防止につなげる報告書フォーマットと共有方法を徹底解説

セキュリティインシデント報告書はなぜ重要なのか

セキュリティインシデントが発生したとき、被害を最小限に抑え、同じ事故を繰り返さないために欠かせないのが「インシデント報告書」です。本記事では、報告書に盛り込むべき項目やフォーマットの考え方、そして作成した報告書を再発防止に活かすための社内共有方法を解説します。報告書テンプレートの設計ポイントもあわせてお伝えしますので、自社の体制整備にお役立てください。

個人情報保護委員会の「令和6年度 年次報告」によると、2024年度の個人情報漏えい等の報告件数は過去最多の1万9,056件に達しました。また、サイバーセキュリティクラウド社の調査では、2024年に公表された法人・団体のセキュリティインシデントは121件にのぼり、年間の個人情報漏えい件数は約2,164万件に達しています。こうした状況の中、インシデントが発生した際にどれだけ迅速かつ正確に情報を整理・共有できるかが、企業の信頼を守る鍵になります。

しかし多くの中小企業では報告書のフォーマットが整備されておらず、いざというときに何を書けばよいかわからないという声が少なくありません。

インシデント報告書の基本構成と記載項目

インシデント報告書に盛り込むべき基本項目は、大きく分けて「事実の記録」「影響の評価」「対応と対策」の3つの領域に整理できます。

まず「事実の記録」として不可欠なのが、5W1H（いつ・どこで・誰が・何を・なぜ・どのように）を網羅した情報です。インシデントの発生日時、発見日時、発見者、影響を受けたシステムや業務範囲、そしてインシデントの種別（不正アクセス、マルウェア感染、情報漏えい、人為的ミスなど）を正確に記載します。件名は「セキュリティインシデントの報告」のような抽象的なものではなく、「ランサムウェア感染によるファイルサーバー障害に関する報告」のように具体的に書くことで、後から検索・参照しやすくなります。

次に「影響の評価」です。インシデントによってどの範囲にどの程度の被害が及んだのかを記載します。個人情報の漏えい件数、システムの停止時間、業務への影響度合い、取引先や顧客への影響有無などが該当します。ここで重要なのは、影響範囲を過小評価しないことです。報告時点で判明している事実と、今後影響が拡大する可能性がある事項を分けて記載することで、経営層が適切なリスク判断を行えるようになります。

そして「対応と対策」として、初動対応の内容、暫定的な封じ込め措置、原因究明の進捗、恒久的な再発防止策を記載します。とくに原因分析では「直接原因」と「根本原因」を分けて考えることが大切です。たとえば、直接原因が「フィッシングメールの添付ファイルを開封した」であっても、根本原因は「メールセキュリティ製品が導入されていなかった」や「従業員へのセキュリティ教育が不十分だった」かもしれません。この根本原因にまで踏み込むことで、表面的な対処ではなく、本質的な改善につなげることができます。

報告のタイミングは「速報・詳細報告・最終報告」の3段階

セキュリティインシデントへの対応は、発見から収束まで数日から数週間、場合によっては数か月に及ぶこともあります。そのため、報告書は一度で完結させるのではなく、対応のフェーズに応じて3段階に分けて作成するのが効果的です。

第1段階の「速報」は、インシデント発見後できる限り早く（目安として数時間以内に）提出するものです。この時点では情報が限られているため、判明している事実のみを簡潔にまとめます。「何が起きたのか」「現在の状況はどうか」「初動対応として何を行ったか」の3点を中心に記載し、不明な点は「調査中」と明記します。憶測や推測を書くと、その後の対応を誤らせる原因になるため、事実と推定を明確に区別することが重要です。

第2段階の「詳細報告」は、初動対応が一段落し、ある程度の調査が進んだ段階で作成します。速報では書けなかった影響範囲の詳細、原因の分析結果、対応の進捗状況を追記します。個人情報の漏えいが確認された場合は、個人情報保護委員会への報告が必要かどうかの判断もこの段階で行います。個人情報保護法では、不正アクセスなど不正の目的をもって行われたおそれがある漏えい等については、発覚日からおおむね3〜5日以内に速報を、30日以内（不正の目的による場合は60日以内）に確報を個人情報保護委員会に提出する義務があります。

第3段階の「最終報告」は、インシデントの収束後に作成する総括的な報告書です。インシデントの全容、時系列での経緯、根本原因の分析、実施した対応策、そして今後の再発防止策を網羅的にまとめます。この最終報告書こそが、組織の「知恵」として蓄積され、将来のインシデント対応力を高める資産になります。

報告書作成で陥りがちな5つの失敗

実際にインシデント報告書を作成する場面では、いくつかの典型的な失敗パターンがあります。自社の報告書がこれらに該当していないか、チェックしてみてください。

1つ目は「感情的な記述」です。報告書に「大変なことになった」といった感情的な表現を用いると、冷静な判断の妨げになります。あくまでも事実を客観的に伝える公式文書であることを意識しましょう。

2つ目は「影響範囲の過小評価」です。被害を小さく見せたいという心理が働きがちですが、後から実際の被害がより大きいことが判明すると、企業の信頼性を大きく損なう結果になります。

3つ目は「原因と対策の不一致」です。原因を「従業員の不注意」とだけ書いて、対策を「注意喚起の徹底」とするケースがありますが、これでは実効性のある再発防止にはつながりません。

4つ目は「時系列の曖昧さ」です。「何時何分に何が起きたか」を正確に記録しておかないと、後の分析や外部への報告で困ることになります。

5つ目は「報告書を作って終わり」にしてしまうことです。報告書は書くことが目的ではなく、再発防止に活かすことが目的です。

再発防止につなげる社内共有の方法

インシデント報告書を作成したら、次に重要なのがその共有方法です。せっかくの報告書も、関係者の目に触れなければ再発防止にはつながりません。

まず、共有範囲を適切に設計することが大切です。速報の段階では経営層とIT部門、セキュリティ担当部門に限定し、詳細報告の段階で関連する事業部門にも展開します。最終報告は、個人情報などのセンシティブな情報を除いたうえで、全社的に共有することが望ましいでしょう。インシデントの当事者だけでなく、他の部門にとっても学びの機会になるからです。

次に、共有する際には「何を学ぶべきか」を明示することがポイントです。報告書をそのまま回覧するだけでは、読む側にとって「自分には関係ない」と感じてしまいがちです。報告書とあわせて「今回のインシデントから全社員が注意すべきポイント」を3〜5項目程度にまとめた要約を添えると、理解度と当事者意識が大きく向上します。

さらに、報告書をナレッジとして蓄積・検索できる仕組みを作っておくことも重要です。過去のインシデント事例をデータベース化しておけば、類似事象が発生した際に過去の対応を参照でき、対応スピードが格段に上がります。IPAの調査によると、中小企業におけるサイバーインシデントの復旧に要した期間は平均5.8日であり、50日以上を要したケースも2.1%あったとのことです。過去の知見を活かせる体制があるかどうかで、この復旧期間は大きく変わってきます。

また、定期的に報告書をもとにした「振り返りミーティング」を実施することも効果的です。過去のインシデント事例を題材にしたケーススタディを行うことで、組織全体のセキュリティ意識と対応力を底上げできます。

報告義務への対応も忘れずに

セキュリティインシデントが発生した場合、社内報告だけでなく、法令に基づく外部への報告義務が発生するケースがある点にも注意が必要です。

個人情報保護法第26条では、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告と本人への通知が義務づけられています。報告対象となるのは、要配慮個人情報が含まれる場合、不正利用による財産的被害のおそれがある場合、不正の目的をもって行われたおそれがある場合、1,000人を超える漏えい等の場合の4類型です。

さらに、2025年5月に成立したサイバー対処能力強化法により、基幹インフラ事業者にはサイバー攻撃被害の報告義務が新たに課されます。2025年10月からは、DDoS攻撃やランサムウェア事案について統一報告様式の運用も開始されています。中小企業にとっても「何をどこに報告すべきか」を事前に整理しておく必要があります。

こうした法的な報告義務に対応するためにも、平時から報告書のフォーマットを整備し、報告フローを明確にしておくことが欠かせません。

御社で今すぐ取り組むべき5つのアクション

ここまでの内容を踏まえて、自社のインシデント報告体制を強化するために、今すぐ着手できるアクションを整理します。

1つ目は、自社用のインシデント報告書テンプレートを作成することです。速報用・詳細報告用・最終報告用の3種類を用意し、記載すべき項目をあらかじめ設定しておくことで、いざというときに迷わず報告書を作成できます。

2つ目は、インシデント発生時の報告フロー（誰が・誰に・いつまでに報告するか）を文書化し、全社に周知することです。フローが不明確なままだと、報告の遅れや情報の錯綜を招きます。

3つ目は、過去のインシデント事例を整理・データベース化することです。自社で発生した事例だけでなく、同業他社の公表事例も参考にするとより効果的です。

4つ目は、四半期に1回程度のインシデント振り返りミーティングを定例化することです。報告書をもとにしたケーススタディを通じて、組織のセキュリティリテラシーを向上させます。

5つ目は、法令で求められる報告義務の対象範囲と報告先を確認し、対応手順をマニュアル化しておくことです。報告対象事態に該当するかどうかの判断基準を社内で共有しておくことで、有事の際に慌てずに対応できます。

まとめ

セキュリティインシデント報告書は、被害の記録にとどまらず、組織のセキュリティレベルを継続的に向上させるための重要な仕組みです。5W1Hを押さえた正確な記録、速報・詳細報告・最終報告の3段階での報告、そして報告書を再発防止に活かす社内共有の仕組みづくりが、インシデントに強い組織をつくる基盤になります。

「報告書のフォーマットが整備できていない」「インシデント発生時の対応フローが曖昧」といった課題をお持ちでしたら、ぜひご相談ください。GXOでは、180社以上の支援実績をもとに、SIEM/SOARの導入やSOC体制の構築、インシデント対応フローの策定まで、上流から下流まで一気通貫で伴走型のご支援を行っています。

お問い合わせはこちら