こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月7日、不正アクセス等のサイバー攻撃での個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについての解説をブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】インシデント情報の公表時に原因を明示すべきかについて発表されています。インシデントが発生した際に情報が速やかに共有されるべき理由と、サイバー攻撃を受けた際に被害者が連絡すべき窓口について説明します。
今回のブログでは、被害公表時に侵害原因についてある程度の詳細を公表することは、ゼロデイ攻撃や運用保守ベンダー経由の攻撃など、被害組織自身の対策では予防や回避が極めて困難だったことを知らしめることもできるとしています。また、サイバー攻撃に係るさまざまな情報の特性から、非公表とした情報が完全に秘匿され続ける可能性は低く、侵害原因について「セキュリティの問題上答えられない」という回答は現実的ではないと言及しています。
速やかな情報共有が必要な理由として、被害予防や攻撃の全容把握などの情報共有効果は、早ければ早いほど効果的であることが挙げられています。そのためには、サイバー攻撃に関する情報の共有と公表に分離することが必要です。ブログでも引用されている「サイバー攻撃被害に係る情報の共有・公表ガイダンス」から抜粋して説明します。
インシデント対応や調査に必要な情報の入手を目的とした場合、攻撃に関する技術情報の共有は早ければ早いほど効果的です。また、速やかな技術情報の共有により、フィードバック情報を得ることや被害を未然に防ぐことができます。
ただし、すべての情報発信が公表タイミングに集中してしまうと、効果的なタイミングでの共有ができなくなってしまうため、非公開での情報共有と、被害情報の公表を切り分けることで、速やかな情報共有を行うことができるとしています。
例えば、みなさんがオレオレ詐欺の被害にあったとします。オレオレ詐欺の手口や、通信先など、詐欺師に関する情報は、速やかに共有されることで同じ被害者を減らすことができるかもしれません。一方で、受けた被害内容や対応状況に関する情報は、ある程度時間が経過しないと事実関係が明らかにはなりません。
サイバー攻撃の情報も同様に、情報を整理し切り分けることで、速やかな情報共有を行うことができます。具体的には、マルウェアや脆弱性関連情報等の攻撃技術情報については、基本的に個別の被害組織には紐づかず、対応初期で見つかりやすいため、早期に情報共有しなければ効果を得られない情報としています。一方で、被害内容や対応状況等の情報については、ある程度調査期間を経なければ判明しない情報や、ステークホルダー等との調整が必要な機微な情報などが含まれるため、公表までに時間がかかる情報としています。
サイバー攻撃を受けた際の主な報告先として、専門組織、警察、行政機関が挙げられます。
まず、インシデント対応の相談やサイバー攻撃の共有先として、JPCERT/CCやセキュリティベンダなどの専門組織が挙げられます。混乱を招きやすいサイバー攻撃の渦中でも、専門家によるアドバイスによって、適切なインシデント対応を進められることが期待できます。
また、犯罪捜査や犯罪抑止を目的としたサイバー攻撃の通報や相談先として、最寄りの警察署または都道府県警察本部のサイバー犯罪相談窓口が挙げられます。警察では、被疑者の検挙に加えて、捜査で判明した犯罪の手口等を関係機関に情報提供してさらなる被害を防止するなどの取組を行っているので、サイバー事案が生じた際には警察への通報や相談を積極的に行うことが望ましいとされています。
更に、法令等に基づく報告以外であっても、広く国民に影響する事象への対処や中長期的な攻撃対処を目的とした報告先として、各行政機関が挙げられます。例えば、重要インフラ事業者は、法令等に基づき、被害の状況や事業継続の見通しについて、所管省庁への報告が必要となります。なお、被害に関する公表や報道を受けて、被害組織に所管省庁から情報提供の依頼がなされる場合があるそうです。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ