サイバー攻撃被害の情報共有は個別同意よりもスピード優先、経産省検討会が最終報告

専門組織間での円滑な情報共有を提言

サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。

また、被害個社名等を推測可能な情報を除く非特定化加工の方法等、専門組織として取るべき具体的な方針について整理した「攻撃技術情報の取扱い活用手引き（案）」を取りまとめています。ユーザー組織と事前に合意するための秘密保持契約に盛り込むべき条文案（「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」）も提示しています。円滑な情報共有の促進に向けて、専門組織が非特定化加工済みの攻撃技術情報を共有したことに基づく法的責任を原則として負わないことを盛り込む内容です。

さらに、専門組織同士の情報共有促進だけでは解消されない今後の課題として、①情報共有に向けた官民連携のあり方（行政機関への相談報告のあり方や政府と民間事業者間の情報の共有等）や②サプライチェーンにおけるベンダ等の役割を挙げています。

検討会では2023年5月から、サイバー攻撃の被害企業の同意を個別に得ることなく速やかに情報共有する考え方を整理し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織*を通じた情報共有を促進するための必要事項を検討してきました。

サイバー攻撃が高度化する中、単独組織だけでは攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。2023年3月、経済産業省は、被害組織で見つかった情報を「何のために」「どのような情報を」「どのタイミングで」「どのような主体に対して」共有／公表するのか、ポイントを整理した資料として「サイバー攻撃被害に係る情報の共有公表ガイダンス」を策定、公開しています。一方、被害組織自らが情報共有を行うことについては、①被害組織側の調整コスト負担、②最適者が事案対応を行わない懸念、③処理コストのかかる情報共有（既知、または不要な情報が流れることによる受信組織側の対応コストが発生しているおそれ）、④被害現場依存の脱却の必要性（インシデント対応時に複数の組織が現場に“殺到”することで、被害組織の対外対応コスト負担増や調査阻害要因になる可能性）等の課題が存在します。

そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定推測の可能性の課題に対応する必要があります。

*一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）、独立行政法人情報処理推進機構（IPA）、一般財団法人日本サイバー犯罪対策センタ（JC3）、国立研究開発法人情報通信研究機構（NICT）などの専門機関やセキュリティベンダなど。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年1月（第10号）を基に作成したものです。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年1月（第10号）を基に作成したものです。