ITS 編集部
当社の編集部は、IT業界に豊富な知識と経験を持つエキスパートから構成されています。オフショア開発やITに関連するトピックについて深い理解を持ち、最新のトレンドや技術の動向をご提供いたします。ぜひご参考になってください。
サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的です。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、今回、最終報告書等を取りまとめました。
最終報告書では、サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。
また、最終報告書の提言を補完する専門組織向けの手引書(案)及びユーザー組織と専門組織間のモデル条文案も提示しました。これらの補完文書については、令和5年11月22日(水曜日)から令和5年12月22日(金曜日)までの間、意見を募集します。
サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。このため、経済産業省では、関係省庁と連携して、サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンス(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」)を今年3月に策定・公表したところです。
他方で、被害組織自らによる情報共有には、被害組織側に自らが受けられる情報共有メリット以上の調整コストが発生する等の課題があります。そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定・推測の可能性の課題に対応する必要があります。
こうした課題に対応するため、経済産業省では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、今般取りまとめを行いました。
本報告書では、情報共有の重要性と現状の課題を踏まえ、サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。
また、本報告書の提言を補完する観点から、被害個社名等を推測可能な情報を除く非特定化加工の方法など専門組織として取るべき具体的な方針について整理した「攻撃技術情報の取扱い・活用手引き(案)」をとりまとめるとともに、円滑な情報共有の促進に向けて、専門組織が非特定化加工済みの攻撃技術情報を共有したことに基づく法的責任を原則として負わないことをユーザー組織と事前に合意するための秘密保持契約に盛り込むべき条文案(「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」)を提示しました。これらの「攻撃技術情報の取扱い・活用手引き(案)」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」については、国民の皆様から広く意見を募集します。
更に、本報告書では、専門組織同士の情報共有促進だけでは解消されない今後の課題として、①情報共有に向けた官民連携のあり方 (行政機関への相談・報告のあり方や政府と民間事業者間の情報の共有など)や、②サプライチェーンにおけるベンダ等の役割を挙げています。
意見提出方法等の詳細は、こちらを御覧ください。
令和5年11月22日(水曜日)から令和5年12月22日(金曜日)
商務情報政策局サイバーセキュリティ課長 武尾
担当者:三田、澤田
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
当社の編集部は、IT業界に豊富な知識と経験を持つエキスパートから構成されています。オフショア開発やITに関連するトピックについて深い理解を持ち、最新のトレンドや技術の動向をご提供いたします。ぜひご参考になってください。