セキュリティの
学び場

今回の解説ニュース

各省庁とセキュリティ関連組織の連名で、サイバー攻撃の被害情報がどう取り扱われるべきかについて発表されています。インシデントが発生した際に、どのような情報をどのようなタイミングで共有や公表をすべきかについて説明します。

今回は、総務省、経済産業省、警察庁、NISCの連名で公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」の検討に際して行った論点整理や提言について発表されています。

JPCERT/CCは、サイバー攻撃を分析し対策を練るために、被害現場からの技術情報が必要不可欠で、被害組織は協力組織でもあると指摘しています。また、サイバー攻撃の被害組織を保護しながら、どのように社会全体でサイバー攻撃に対処するか、被害情報の「共有」と「公表」という観点で整理が必要と言及しています。

「技術情報」と「コンテクスト情報」の分離とは

社会全体でインシデントの被害を少しでも減らすためには、被害情報を分離して、それぞれ適切なタイミングで共有と公表を行う必要があります。それぞれの具体的な内容について説明します。

例えば、Aさんがフィッシング詐欺の被害にあったとします。セキュリティベンダーで働くAさんがサイバー攻撃の被害にあうということは、「技術情報」である攻撃手法は高度であることが考えられ、速やかに「共有」することが望まれます。しかし、機密情報を多く取り扱うセキュリティベンダーがサイバー攻撃の被害にあったという事実について、「コンテクスト情報」である状況や環境に関して正しく整理してから「公表」する必要があります。

つまり、技術情報はいち早く共有されるべき情報である一方で、コンテクスト情報は公表できるまでに一定の時間を要してしまうことが考えられます。このような状況で、被害情報を分離せず「共有のための公表」といった共有と公表が混在したままだと、共有された技術情報が時機を逸して活用できないという問題が生じてしまいます。

このように、被害情報を技術情報とコンテクスト情報に分離した上で、被害組織にとって不利益にならない情報は早期に共有される環境が必要とされているということです。

情報セキュリティの「フルディスクロージャ」とは

情報セキュリティのフルディスクロージャとは、脆弱性情報は全ての情報が詳細に渡って一般に公表されていなければならないとするセキュリティ哲学の一つです。開発者がソフトウェアの脆弱性を修正するための外圧として機能しており、日本でもIPAがJVNで脆弱性情報を公開しています。

サイバー攻撃の脅威が一般的ではなかった20年以上前は、ソフトウェアの脆弱性を能動的に発見する環境がなかったと言えます。その結果、セキュリティリスクが可視化されず、システムは脆弱性を抱えたまま稼働し続け、偶然知られた脆弱性のみが対応されたり、誰にも知られることなく一部の攻撃者に悪用され続けたりしてしまうことになります。

そのような状況において、開発者が脆弱性を修正するための外圧となるべく生まれたのがフルディスクロージャです。CVEやNVD、日本ではJVNが脆弱性データベースを整備しており、フルディスクロージャが具現化された形になっています。その結果、脆弱性は修正すべきという認識が、少しずつ社会全体へ広まりつつあると思われます。

今回は、被害情報の共有と公表やフルディスクロージャについてお届けしました。サイバー攻撃が一般化した世の中でもありますので、万が一のインシデント発生時に、被害情報を適切に取り扱えるように準備しておきましょう。