経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書
こんにちは、丸山満彦です。
経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書が公表されていますね。。。
サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的です。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、今回、最終報告書等を取りまとめました。
で、背景・趣旨
1.背景・趣旨
サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。このため、経済産業省では、関係省庁と連携して、サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンス(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」)を今年3月に策定・公表したところです。
他方で、被害組織自らによる情報共有には、被害組織側に自らが受けられる情報共有メリット以上の調整コストが発生する等の課題があります。そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定・推測の可能性の課題に対応する必要があります。
こうした課題に対応するため、経済産業省では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、今般取りまとめを行いました。
とのことです。。。
米国の場合は、多くの情報をもっている連邦政府が国益を考え、民間部門に広く情報を提供することにより、国全体のセキュリティを向上しようという方向ですよね。。。そして、それを法定している。。。もちろん、重要インフラについては事故等の情報を政府に報告する必要はありますが、その情報から得られた知見も民に共有されていくことになりますよね。。。
こちらの提案は、主に民のセキュリティインシデント等の情報を例えば、SOCベンダーなどのセキュリティベンダーを媒介に共有しようという感じに見られますね。。。
おそらく、本来的には被害組織が情報を提供するモデルを想定していたが、被害組織にとっては情報を非特定化するなどのクレンジング作業にコストがかかるのにメリットがないということで、情報提供をしないだろう、であれば、例えばSOCベンダーのようなセキュリティベンダーにそれを負担させよう(なぜなら、ベンダーはその情報をもとに他の組織への同種の攻撃の防御にも使える等のメリットがありそうだから。。。)ということになっているのかな。。。と思いました。
SOCベンダーがA社の機器の監視をしていて攻撃を検知し、対応をしたとしても、その情報はA社の情報なので、これから攻撃を受けそうなB社に対して先手をうった防御(アクティブディフェンス)には利用できていないですよね。。。それを解消できればよいのに。。。というのが一つのパターンなんでしょうね。。。
幅広い情報をセキュリティベンダーが非特定化して利用することになるというのであれば、一般の組織は抵抗があるでしょうから、共有する情報はわかりやすい情報(攻撃元のIPアドレス等、マルウェアの検体等)に限定するような契約書の記載がよいのではないでしょうかね。。。まずは、、、
あと気になるのは、これを普及させるために、SOCベンダーが、情報共有NDA条項を標準契約の中に入れてしまうのではないかということですね。。。本来的なサービスはこの条項がなくても成立しているので、これを抱き合わせしまうのは、どうなんだろうか、、、という意見がでてきそうですね。。。この情報共有NDA条項を受け入れた組織だけが、他の攻撃情報等の共有を受けられるというのはありですかね。。。
公益的な目的が社会のコンセンサスになっているのであれば、法律にしてしまえばよいのですけどね。。。そうなっていないから、今はガイドラインで、、、ということなのでしょうね。。。
ガイドラインの普及啓発をしながら、社会に必要性を訴求していくことが必要かもしれませんね。。。その結果、法律まではいらんやろ。。。ということになるかもしれませんが、議論を深めることは重要だろうと思います。。。
ということで、
については、パブリックコメントを12月22日まで受け付けているようですので、是非。。。
● 経済産業省
・2023.11.22 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました
・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要
・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書
・[PDF] 攻撃技術情報の取扱い・活用手引き(案)
・[PDF] 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案
検討会
・サイバー攻撃による被害に関する情報共有の促進に向けた検討会
| 2023.11.22 | 報告書等 | サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要 |
| サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書 | ||
| 攻撃技術情報の取扱い・活用手引き(案) | ||
| 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文(案) | ||
| 2023.11.13 | 第6回 | 議事次第 |
| 資料1-1 サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要案 ※非公開 | ||
| 資料1-2 サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書案 ※非公開 | ||
| 資料2 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案 ※非公開 | ||
| 資料3 攻撃技術情報の取扱い・活用手引き案 ※非公開 | ||
| 補足説明資料 「専門組織」のクラリファイ問題 | ||
| 資料 JPCERT/CC「「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」各成果物の展開に向けた意見」 | ||
| 議事要旨(後掲) | ||
| 2023.09.26 | 第5回 | 議事要旨 |
| 2023.07.21 | 第4回 | 議事次第 |
| 資料1 事務局説明資料(一部非公開) | ||
| 議事要旨 | ||
| 2023.06.26 | 第3回 | 資料1 事務局説明資料 |
| 資料2 関係者からの説明資料(非公表) | ||
| 議事要旨 | ||
| 2023.05.29 | 第2回 | 資料1 事務局説明資料 |
| 資料2 関係者からの説明資料(非公表) | ||
| 議事要旨 | ||
| 2023.05.15 | 第1回 | 議事次第 |
| 資料1-1 サイバー攻撃による被害に関する情報共有の促進に向けた検討会について | ||
| 資料1-2 サイバー攻撃による被害に関する情報共有の促進に向けた検討会運営要領(案) | ||
| 資料2-1 事務局説明資料 | ||
| 資料2-2 JPCERT/CC 説明資料 | ||
| 議事要旨 |
サイバー攻撃被害に係る情報の共有・公表ガイダンス
・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.05 米国 GAO 重要インフラ保護:国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある
・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表
・2022.12.27 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集
・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催
こちらも是非参考に...
連邦政府の情報共有ガイダンスも紹介しています。。。
・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要
Comments