「攻撃技術情報」の情報共有を提言、手引書とNDA文案の意見公募も実施 経産省
掲載:2023年11月30日
サイバー速報
目次
経済産業省は11月22日、サイバー攻撃を受けた当事者ではなく、攻撃を受けた組織と契約しているセキュリティベンダや運用保守ベンダなどが被害の拡大を防ぐ目的でその攻撃技術情報を共有できるよう、提言(最終報告書)を発表しました。提言は5月から実施していた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」での議論を取りまとめたもの。同省は同日、提言とともに攻撃技術情報の共有に関する手引き書(指針案)と、攻撃技術情報に関して秘密保持契約書(NDA)に盛り込むべき条文の案を示した文書を公開し、意見公募を実施しました。12月22日まで受け付けます。
「攻撃技術情報」とは、マルウェア情報や攻撃インフラ、TTP(Tactics,Techniques and Procedures)情報など攻撃者による攻撃活動とその痕跡を示すものであり、サイバー攻撃の被害組織の同意を個別に得ることなく速やかな情報共有の対象となり得るものと表現されています。
サイバー攻撃を受けた際、被害組織は原因を特定するために保守運用ベンダやセキュリティベンダにフォレンジックなどのインシデント対応を求めます。提言では、これらベンダ(=専門組織)が互いに攻撃技術情報を共有することが攻撃の全容を把握したり、被害拡大を防止したりすることに効果的だと示しました。一方、共有される攻撃技術情報は被害組織の特定につながらないなど被害組織の利益を害しない情報でなければなりません。また、秘密保持契約を結んでいるために情報共有できないケースがあることも課題となっていました。
提言では、これら課題を踏まえて例えば、専門組織は被害個社名など推測可能な情報を除く非特定化加工などを行うよう明示されています。その際の指針として「攻撃技術情報の取り扱い・活用手引き(案)」が作成されました。また、専門組織が攻撃技術情報を共有することは原則として法的責任を負わないとする旨を事前にユーザー組織と合意するため、NDAに盛り込むべき条文案(「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」)も作成しました。意見公募はこの指針と条文について実施しています。
おすすめ記事
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- ブルートフォースアタック
- 暴露型ランサムウェアの傾向と対策~チェックシートの利用ガイド~ 暴露型ランサムウェア対応チェックシート
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- フォレンジック
- 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」の意見公募を開始、情報共有や被害公表に関する実務をFAQ形式で提示 NISC、警察庁、総務省、経産省
- ランサムウェア被害件数は高止まり、2023年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- ランサムウェア被害後のデータ復旧トラブルを防ぐ目的で「データ被害時のベンダー選定チェックシートVer1.0」を公開 IDF/DRAJ/JNSA/NCA/SAJ
関連サービス
- NIST SP800-171セキュリティ構築支援コンサルティングサービス
- 脆弱性診断コンサルティングサービス
- サイバー攻撃対応演習・訓練コンサルティングサービス
- サイバーセキュリティ評価コンサルティングサービス
- NIST SP800-171 セキュリティ監査支援コンサルティングサービス
- 防衛産業サイバーセキュリティ基準評価支援コンサルティングサービス
- IoTセキュリティ監査サービス
- テレワークセキュリティ評価コンサルティングサービス
- サプライチェーンセキュリティ360度評価コンサルティングサービス
- 制御・OTシステムセキュリティアセスメントコンサルティングサービス
- SecurityScorecard(セキュリティスコアカード)