サイバー攻撃被害の情報共有は個別同意よりもスピード優先、経産省検討会が最終報告

2024年2月16日

サイバーリスク

経済産業省の「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」は2023年11月22日、最終報告書等を公表しました。

専門組織間での円滑な情報共有を提言

サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。

また、被害個社名等を推測可能な情報を除く非特定化加工の方法等、専門組織として取るべき具体的な方針について整理した「攻撃技術情報の取扱い活用手引き(案)」を取りまとめています。ユーザー組織と事前に合意するための秘密保持契約に盛り込むべき条文案(「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」)も提示しています。円滑な情報共有の促進に向けて、専門組織が非特定化加工済みの攻撃技術情報を共有したことに基づく法的責任を原則として負わないことを盛り込む内容です。

さらに、専門組織同士の情報共有促進だけでは解消されない今後の課題として、①情報共有に向けた官民連携のあり方(行政機関への相談報告のあり方や政府と民間事業者間の情報の共有等)や②サプライチェーンにおけるベンダ等の役割を挙げています。

検討会では2023年5月から、サイバー攻撃の被害企業の同意を個別に得ることなく速やかに情報共有する考え方を整理し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織*を通じた情報共有を促進するための必要事項を検討してきました。

サイバー攻撃が高度化する中、単独組織だけでは攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。2023年3月、経済産業省は、被害組織で見つかった情報を「何のために」「どのような情報を」「どのタイミングで」「どのような主体に対して」共有/公表するのか、ポイントを整理した資料として「サイバー攻撃被害に係る情報の共有公表ガイダンス」を策定、公開しています。一方、被害組織自らが情報共有を行うことについては、①被害組織側の調整コスト負担、②最適者が事案対応を行わない懸念、③処理コストのかかる情報共有(既知、または不要な情報が流れることによる受信組織側の対応コストが発生しているおそれ)、④被害現場依存の脱却の必要性(インシデント対応時に複数の組織が現場に“殺到”することで、被害組織の対外対応コスト負担増や調査阻害要因になる可能性)等の課題が存在します。

そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定推測の可能性の課題に対応する必要があります。

*一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)、独立行政法人情報処理推進機構(IPA)、一般財団法人日本サイバー犯罪対策センタ(JC3)、国立研究開発法人情報通信研究機構(NICT)などの専門機関やセキュリティベンダなど。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年1月(第10号)を基に作成したものです。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年1月(第10号)を基に作成したものです。  

関連記事

アリアンツが2024年版の主要ビジネスリスクに関する報告書を公表 サイバーリスクが3年連続1位に

2024年4月19日

自然災害・事業継続

サイバーリスク

AIは「ほぼ間違いなく」サイバー攻撃を激化させる 英国NCSCが調査結果を公開

2024年4月3日

サイバーリスク

さらに活発化するランサムウェア攻撃 2023年の動向を振り返る

2024年3月18日

自然災害・事業継続

サイバーリスク

IPA「サイバーセキュリティ経営ガイドラインVer 3.0実践のためのプラクティス集 第4版」を公開

2024年3月6日

サイバーリスク

サプライチェーンリスクマネジメントとは?|概要から取組方法についても解説

2024年2月7日

自然災害・事業継続

サイバーリスク

おすすめ記事

AIは「ほぼ間違いなく」サイバー攻撃を激化させる 英国NCSCが調査結果を公開

2024年4月3日

サイバーリスク

貨物自動車(トラック)の荷役作業における労働災害防止措置の強化について

2024年3月25日

人事労務・働き方改革

事故防止

さらに活発化するランサムウェア攻撃 2023年の動向を振り返る

2024年3月18日

自然災害・事業継続

サイバーリスク

消費税インボイス制度に関する疑問点にお答えします!

2024年3月13日

人事労務・働き方改革

IPA「サイバーセキュリティ経営ガイドラインVer 3.0実践のためのプラクティス集 第4版」を公開

2024年3月6日

サイバーリスク

週間ランキング

世界全体のSDGs達成状況は?|なぜ日本の達成度はランキング21位なのか?

2023年10月23日

SDGs

PFAS(有機フッ素化合物)とは?|健康への影響と法的リスク

2024年2月19日

その他

補助金申請から入金まで!全体スケジュールを徹底解説

2023年11月15日

その他

帝国データバンク公表「企業の6割で賃上げ見込み、賃上げ率は平均4.16%と試算 ~半数超がベースアップを実施予定~」

2024年3月1日

その他

トラック業界の「標準運送約款」と「標準的な運賃」の改正について

2023年11月27日

2024年問題