« オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14) | Main | デジタル庁 Web3.0研究会報告書 »

2022.12.27

内閣官房サイバーセキュリティセンター 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンターが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集をしていますね。。。

 

内閣官房サイバーセキュリティセンター

・2022.12.26 基本戦略グループ(第2) 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集について


サイバー攻撃の脅威が高まる中、攻撃を受けた被害組織がサイバーセキュリティ関係組織と被害に係る情報を共有することは、攻撃の全容解明や対策強化を図る上で、被害組織・社会全体の双方にとって有益ですが、実際には、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く見られます。
 そこで、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」(事務局:警察庁、総務省、経済産業省及びサイバーセキュリティ協議会事務局(内閣官房内閣サイバーセキュリティセンター及び政令指定法人JPCERT/CC))を開催し、被害組織の担当部門(システム運用部門、セキュリティ担当、法務・リスク管理部門等)が被害情報を共有する際の実務上の参考となるガイダンスの策定に向けて討議を行いました。
 これを受け、上記検討会において、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」を作成いたしました。つきましては、同ガイダンス案について、国民の皆様から広く意見を募集いたします。


 

意見募集対象

20221226-224650

目次

用語集

用語集補足

1.はじめに
情報共有とは何か/公表とは何か
なぜ「情報共有をするべき」なのか/公表の社会的意義
本ガイダンスのコンセプト
本ガイダンスの検討経緯
本ガイダンスのスコープ
本ガイダンスを読むにあたって

2.情報共有・被害公表の流れ

3.FAQ
 <情報共有の方法等について>

Q1.
なぜ情報共有が必要なのですか?
Q2.
どのタイミングでどのような情報が共有/公表されますか?
Q3.
「被害組織」とは何ですか?
Q4.
サイバー攻撃被害に係る情報にはどのようなものがありますか?
Q5.
どうやって「情報共有」をすればいいのですか?
Q6.
どのような情報を共有すればいいのですか?
Q7.
「インディケータ情報」とは何ですか?
Q8.
いつ情報を共有すればいいのですか?
Q9.
情報共有活動に参加していない場合、どこに共有すればいいのですか?
Q10.
情報共有を行う上での留意点はありますか?
Q11.
攻撃技術情報の共有とノウハウの共有とは何が違いますか?
Q12.
専門組織同士はどういう情報を共有していますか?
Q13.
なぜ非公開で参加者が限定された情報共有が行われるのですか?

<被害の公表や法令等に基づく報告・届出について>
Q14.
公表の目的は何ですか?
Q15.
公表のタイミングはどのようなものがありますか?
Q16
公表の内容としてはどのようなものがありますか?
Q17.
公表する際の留意点はありますか?
Q18.
警察への通報・相談は、行った方が良いでしょうか?
Q19.
警察に通報・相談することによる業務への影響はあるのでしょうか?
Q20.
所管省庁への任意の報告は、行った方が良いでしょうか?

<被害組織の保護の観点について>
Q21.
公表していないのに自組織の被害が知られて公開されてしまうのはなぜですか?
Q22.
他組織の被害に関する情報を発見した場合、どうしたらよいですか?
Q23.
製品の脆弱性が悪用されていた場合、当該情報はどのように扱えばいいですか?
Q24.
他の被害組織を踏み台として攻撃された場合、当該情報はどのように扱えばいいですか?
Q25.
共有・公表したことで二次被害が出てしまうような情報はありますか?

<攻撃技術情報の取扱いについて>
Q26.
マルウェアに関する情報とはどういうものですか?
Q27.
不正通信先に関する情報とはどういうものですか?
Q28.
攻撃の手口に関する情報とはどういうものですか?
Q29.
専門組織から「見つかった情報を共有活動に展開してよいか?」と尋ねられたらどう判断すればいいですか?
Q30.
情報共有先をどのように指定/制限すればいいですか?
Q31.
専門組織から「分析結果をレポートとして発信してもよいか」と尋ねられたらどう判断すればいいですか?
Q32.
どのような攻撃技術情報であれば速やかに共有することができますか?(公開情報と非公開情報の違いについて)(調査ベンダ向け解説)
Q33.
どのような攻撃技術情報であれば守秘義務契約上の「秘密情報」にあたりませんか?(調査ベンダ向け解説)

4.ケーススタディ
ケース 1:標的型サイバー攻撃
ケース 2:脆弱性を突いた Web サーバ等への不正アクセス
ケース 3:侵入型ランサムウェア攻撃

5.チェックリスト/フローシート


参考資料

20221226-225208

 

「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催


 

|

« オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14) | Main | デジタル庁 Web3.0研究会報告書 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14) | Main | デジタル庁 Web3.0研究会報告書 »