【日本】政府、企業等にサイバー攻撃時の情報共有・公表の指針案発表。パブコメ募集

　内閣官房内閣サイバーセキュリティセンター（NISC）、警察庁、総務省、経済産業省は12月26日、サイバー攻撃を受けた際の情報共有・公表に関するガイダンス案を発表した。1月30日までパブリックコメントを受け付ける。

　同ガイダンスは、サイバー攻撃を受けた際に、被害組織がサイバーセキュリティ関係組織と被害に対外コミュニケーションに関しては、対策として早期の共有が重要にもかかわらず、自組織のレピュテーションやさらなる攻撃をおそれ、情報共有に慎重となるケースも多く見られる。そのため、政府として、被害組織のシステム運用部門、セキュリティ担当、法務・リスク管理部門等に向け、情報共有の指針を示した。

　同ガイダンスでは、対外コミュニケーションに関し、被害組織が、非公開で情報共有活動の場やセキュリティベンダー等の専門組織との間で行われる主にサイバー攻撃の手法等に関する技術的情報のやりとりを「共有」、被害組織が広く公に発表することを「公表」と定義。共有と公開のタイミングを分けて管理し、共有は迅速に行うことが重要とした。また、公表についても、すべての調査を終えてから最後に公表を行うだけでなく、二次被害が発生するおそれや社会的にインパクトの大きな被害が判明した時点で、適宜第一報的な公表を検討することが望ましいとした。

　また、サイバー攻撃での対処では、専門機関への情報共有を通じて、他の組織の被害を減らす対策が有効となる。専門機関には、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）、独立行政法人情報処理推進機構（IPA）、一般財団法人日本サイバー犯罪対策センター（JC3）、国立研究開発法人情報通信研究機構（NICT）等があるが、これらと直接接点のない被害組織も少なくない。そこで今回のガイダンスでは、セキュリティベンダー等の専門組織を通じて、専門機関への情報共有を行うことを推奨した。

　公表する際には、悪用された未修正の脆弱性情報や、攻撃インフラ等に存在する「第三者の被害を示す情報」に対しては、公表前に、専門機関を通じた関係者間で調整することを推奨。また、第三者の不利益になるような機微な情報の取扱いについても、専門機関等を調整することを勧めた。

　加えて、法令で義務付けられていない場合でも、所管官庁等の行政機関と警察の双方に、任意で情報を通報・相談することも望ましいとした。

【参照ページ】「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集について

株式会社ニューラル サステナビリティ研究所