総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催
こんにちは、丸山満彦です。
総務省 経済産業省 警察庁、内閣官房、JPCERT/CCが事務局となって「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催するようですね。。。
どんな情報(What)を、どのタイミング(When)で、どんな主体(Whom)と共有するのか、、、というのが議論のポイントになるのでしょうかね。。。
その際に、「技術情報」と「コンテクスト情報」を分離して共有することにし、早期の技術情報(対策状況、脆弱性、マルウェア、通信先等)の共有が可能になり、当事者の全容解明が早まり、当時に他社への注意喚起、同様の被害を受けた他社の解決の早期化にも資するということなのでしょうかね。。。
米国が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を成立させ、重要インフラ企業はサイバーインシデントがあれば、72時間以内にCISAに報告をすることになり、CISAが報告のための[PDF] ファクトシートを公開していますが、これとは少し違う目的のようにも思いますが、参考にできるところは参考にして、あるいはこちらの検討結果をCISAに共有する等をし、国際的な共有の枠組みを推進できると素敵ですよね。。。
総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P2
総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P4
● 総務省
・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について
サイバー攻撃被害を受けた民間主体やその受託者等(以下「サイバー攻撃被害組織等」という。)が、その被害に係る情報をサイバーセキュリティ関係組織等と共有することは、発生したサイバー攻撃の全容を解明し、更なる対策の強化を可能とせしめるものであり、サイバー攻撃被害組織等自身にとっても、社会全体にとっても非常に有益です。しかし、現状、サイバー攻撃被害組織等の現場にとって、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く、被害に係る情報のうち、どのような情報を、どのタイミングで、どのような主体と共有すればよいかの検討にあたり、実務上の参考とすべきものがないため、適切に判断することが難しいとの声も聞かれます。
そこで、サイバー攻撃被害に係る情報を取り扱う様々な担当者の判断に資することを目的として、サイバー攻撃被害組織等の立場にも配慮しつつ、技術情報等組織特定に至らない情報の整理を含めた、サイバー攻撃被害に係る情報の共有・公表ガイダンスを策定すべく、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催することとしました。
・[PDF] 別紙1 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について(サイバーセキュリティ協議会運営委員会決定)
・[PDF] 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料)
● 経済産業省
・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会を開催します
・[PDF] 【別紙1】サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について
・[PDF] 【別紙2】「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(概要)
● 警察庁 - サイバーポリスエージェンシー
・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について
● 内閣官房 - サイバーセキュリティセンター
・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について
2.22.04.23 追記
事務局を務めることになるJPCERT/CC のブログ
● JPCERT/CC - blogs
・2022.04.21 サイバー攻撃被害情報の共有と公表のあり方について
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)
・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...
・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決
・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決
・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案
金融
・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認
・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」
企業情報開示での開示の話。。。
・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則
米国のサイバー戦略におけるリスク対応の源流...
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
« AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations | Main | NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 »
Comments