セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 サイバー攻撃被害組織が「お詫び」「謝罪」、JPCERT/CCが情報共有の論点整理と提言

サイバー攻撃被害組織が「お詫び」「謝罪」、JPCERT/CCが情報共有の論点整理と提言

サイバー攻撃被害組織が「お詫び」「謝罪」、JPCERT/CCが情報共有の論点整理と提言
目次
  • 今回の解説ニュース
  • 「技術情報」と「コンテクスト情報」の分離とは
  • 情報セキュリティの「フルディスクロージャ」とは

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

『サイバー攻撃被害組織が「お詫び」「謝罪」、JPCERT/CCが情報共有の論点整理と提言』

一般社団法人JPCERT コーディネーションセンターは4月21日、4月20日に総務省、経済産業省、警察庁、NISCの連名で公表した「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」の検討に際し行った論点整理や提言について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

各省庁とセキュリティ関連組織の連名で、サイバー攻撃の被害情報がどう取り扱われるべきかについて発表されています。インシデントが発生した際に、どのような情報をどのようなタイミングで共有や公表をすべきかについて説明します。

今回は、総務省、経済産業省、警察庁、NISCの連名で公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」の検討に際して行った論点整理や提言について発表されています。

JPCERT/CCは、サイバー攻撃を分析し対策を練るために、被害現場からの技術情報が必要不可欠で、被害組織は協力組織でもあると指摘しています。また、サイバー攻撃の被害組織を保護しながら、どのように社会全体でサイバー攻撃に対処するか、被害情報の「共有」と「公表」という観点で整理が必要と言及しています。

「技術情報」と「コンテクスト情報」の分離とは

社会全体でインシデントの被害を少しでも減らすためには、被害情報を分離して、それぞれ適切なタイミングで共有と公表を行う必要があります。それぞれの具体的な内容について説明します。

例えば、Aさんがフィッシング詐欺の被害にあったとします。セキュリティベンダーで働くAさんがサイバー攻撃の被害にあうということは、「技術情報」である攻撃手法は高度であることが考えられ、速やかに「共有」することが望まれます。しかし、機密情報を多く取り扱うセキュリティベンダーがサイバー攻撃の被害にあったという事実について、「コンテクスト情報」である状況や環境に関して正しく整理してから「公表」する必要があります。

つまり、技術情報はいち早く共有されるべき情報である一方で、コンテクスト情報は公表できるまでに一定の時間を要してしまうことが考えられます。このような状況で、被害情報を分離せず「共有のための公表」といった共有と公表が混在したままだと、共有された技術情報が時機を逸して活用できないという問題が生じてしまいます。

このように、被害情報を技術情報とコンテクスト情報に分離した上で、被害組織にとって不利益にならない情報は早期に共有される環境が必要とされているということです。

情報セキュリティの「フルディスクロージャ」とは

情報セキュリティのフルディスクロージャとは、脆弱性情報は全ての情報が詳細に渡って一般に公表されていなければならないとするセキュリティ哲学の一つです。開発者がソフトウェアの脆弱性を修正するための外圧として機能しており、日本でもIPAがJVNで脆弱性情報を公開しています。

サイバー攻撃の脅威が一般的ではなかった20年以上前は、ソフトウェアの脆弱性を能動的に発見する環境がなかったと言えます。その結果、セキュリティリスクが可視化されず、システムは脆弱性を抱えたまま稼働し続け、偶然知られた脆弱性のみが対応されたり、誰にも知られることなく一部の攻撃者に悪用され続けたりしてしまうことになります。

そのような状況において、開発者が脆弱性を修正するための外圧となるべく生まれたのがフルディスクロージャです。CVEやNVD、日本ではJVNが脆弱性データベースを整備しており、フルディスクロージャが具現化された形になっています。その結果、脆弱性は修正すべきという認識が、少しずつ社会全体へ広まりつつあると思われます。

今回は、被害情報の共有と公表やフルディスクロージャについてお届けしました。サイバー攻撃が一般化した世の中でもありますので、万が一のインシデント発生時に、被害情報を適切に取り扱えるように準備しておきましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ