プラクティス10-2 『情報の共有・公表ガイダンス』を参考にCSIRTと社内外関係者との連携推進
大手の電気メーカーのY社は、先端的な機能素材の研究開発において世界から注目されており、その営業秘密を狙うサイバー攻撃が頻繁にあるため防御には最大限の対策を講じている。同社の株主は営業秘密の流出による企業価値の毀損を危惧しており、同社におけるリスクの認識及びその抑制に向けた対応方針、ならびに被害が生じた場合の適時の情報開示を強く求めているほか、セキュリティベンダーや業界団体のコミュニティは最新の攻撃情報に関する共有を依頼している。同社では過去に営業秘密を扱わないプロモーション用のウェブサイトが利用しているクラウドサービスのハードウェア障害で停止した際、事業への実害はないことから公表を見送ったところ、社外で「Y社がサイバー攻撃を受けてマヒしているのではないか」との噂となってその沈静化に苦労したことがあった。その影響もあって広報部門ではY社が十分な対策を実施していることに関する情報を積極的に発信したいと考えているが、CSIRTでは攻撃を助長するおそれのある情報の公表には慎重な方針をとっている。そのような中、2023年3月に経済産業省ほか関係省庁の共同による『サイバー攻撃被害に係る情報の共有・公表ガイダンス』(以下、「ガイダンス」)が公開されたのを受け、Y社ではこの文書をよりどころとして社内外との情報の共有及び公表に関する方針を決めて、社外への説明及び社内関係者への周知に関する取組を進めることとなった。
図1 サイバー攻撃被害に関する情報の取扱に関する関係者の意向の違い
Y社の実践のステップ
Y社のCSIRTの責任者を兼ねる同社のCISOが実践したステップは下記3点である。
①ガイダンスに示されている4つのポイント「情報共有」「被害公表」「外部組織との連携」「機微な情報への配慮」を中心に情報の取扱に関する論点を整理
②ガイダンスにおける解説内容をもとに関係者の合意形成を図る
③合意経営の結果を、Y社のCSIRT運用規則に反映
Y社の実践内容
今回のきっかけとなった広報部門とCSIRTとの関係のほか、上図に示す通り、サイバー攻撃被害に関する情報の適切な取扱には考慮すべき要因が多数あるとCISOは考えた。ガイダンスにはそれぞれの課題についての解説が示されているが、項目数が多いこともあって把握が容易ではないことから、CISOは次表のように同ガイダンスの内容等をもとに論点を整理し、それぞれの論点について関係者による意見交換を行い、ガイダンスの解説内容と対比して今後の情報の取扱について協議した。
表1 Y社における被害情報の取扱に関する論点整理例
| 論点 | 関係者意見等 | ガイダンスの解説内容(関連FAQ番号) |
|---|---|---|
| 情報共有 |
|
|
| 被害公表 |
|
|
| 外部組織との連携 |
|
|
| 機微な情報への配慮 |
|
|
協議の結果、関係者間で合意された内容をもとに、CISOと広報部門が弁護士と相談し、合意内容の扱いについて助言を受け、Y社で契約しているサイバー保険の内容についても一部見直しを行った。以上の内容についてY社の役員会において了解を受けた後、CISOがCSIRT運用規則に反映し、以後Y社におけるサイバー攻撃被害に関する情報はガイダンスの解説内容に基づいて規定された同規則(適用範囲は全社)に従って取り扱われることとなった。この中で、状況に応じて判断の権限を有する責任者を定めた。この結果、インシデント又はその予兆の際に個別の判断の必要性が減り、適時の情報公表を通じて株主や投資家からも評価されるなどの効果が得られた。
参考情報
サイバー攻撃被害に係る情報の共有・公表ガイダンス(総務省、経済産業省、NISC、警察庁)
https://www.meti.go.jp/press/2022/03/20230308006/20230308006.html
サイバー攻撃被害に係る情報について、その性質に応じて適切に取り扱うことで、被害組織保護の強化と攻撃技術情報に関する情報共有活動の活性化の両立を目指し、取扱のポイントをFAQ形式で示す。