サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンスの策定に向けて討議を行っていたサイバーセキュリティ協議会運営委員会の「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」(座長:星周一郎東京都立大学教授、事務局:総務省、内閣官房内閣サイバーセキュリティセンター、警察庁、経済産業省及び政令指定法人JPCERT/CC)は8日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を策定した。このガイダンスは、被害組織の担当部門(セキュリティ担当部門、法務・リスク管理部門等)を主な想定読者とし、被害組織を保護しながら、いかに速やかな情報共有や目的に沿ったスムーズな被害公表が行えるのか、実務上の参考となるポイントをFAQ方式でまとめたもの。
攻撃手段が高度化する中で、単独組織による攻撃の全容解明はより困難になっている。
他方で、被害組織はお互いに「他にどのような情報が存在するかを知ることができない」ため、情報共有がなかなか行われにくく、また、共有タイミングも遅いケースが多い。
第三者との関係などサイバー攻撃被害が複雑化する中で、被害組織のインシデント対応が適切になされているかどうかが外部から確認できず、また、被害組織も被害公表を通じた情報の開示に消極的なため、被害組織によるインシデント対応(結果)に不安や警戒を募らせるような状況になっている。
しかし、こうした情報の非対称性を解消する手段である「情報の共有」「被害の公表」のポイントを示した参考資料がない。
ガイダンスはFAQ方式で構成され、各問と回答が1ページにまとめられ、その他補足説明等の解説が次の1ページに載っている。また、FAQのほか、3事例のケーススタディや判断フローチャート、チェックリストがある。
ガイダンスは、被害組織で見つかった情報を「何のために」「どのような情報を」「どのタイミングで」「どのような主体に対して」共有/公表するのか、ポイントを整理したもの。
情報共有については、被害調査に必要な情報の提供や被害の未然防止に資することを目的としている。
情報共有のタイミングについては、情報共有と被害公表を分離し、迅速な情報共有を図る。
情報の整理においては、攻撃に関する情報(攻撃技術情報)と被害に関する情報(被害内容・対応情報)を分離し、迅速な攻撃技術情報の共有を図る。
被害公表については、レピュリテーションリスク(企業に対するネガティブな情報が世間に広まり、企業の信頼やブランドが既存されることによって生じる損失リスク)低下やインシデント対応上の混乱の回避に資することを目的とした。
被害公表のタイミングについては、攻撃の種類や被害の状況から、効果的な公表タイミングを選ぶ。
被害公表の情報の整理においては、専門組織との連携や情報共有活動の状況など対応の経緯等を含めて示すことで、ステークホルダーの不安等を解消することができる。
外部組織との連携については、専門組織との連携、警察への通報・相談、所管官庁への報告等を実施することで、正確な情報共有や注意喚起、捜査を通じた犯罪抑止や広く国民に影響する事案への対処等につなげることができる。
機微な情報への配慮として、被害者への保護や機微な情報への配慮が必要な情報の取扱いを知ることで、スムーズな情報共有、被害公表を行うことができる。