情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス10-2 「情報の共有・公表ガイダンス」を参考にCSIRTと社内外関係者との連携推進

プラクティス10-2 「情報の共有・公表ガイダンス」を参考にCSIRTと社内外関係者との連携推進

公開日:2026年4月28日

背景

大手の電機メーカーのY社は、先端的な機能材料の研究開発において世界から注目されており、その営業秘密を狙うサイバー攻撃が頻繁にあるため防御には最大限の対策を講じている。同社の株主は営業秘密の流出による企業価値の毀損を危惧しており、同社におけるリスクの認識及びその抑制に向けた対応方針、ならびに被害が生じた場合の適時の情報開示を強く求めているほか、セキュリティベンダや業界団体のコミュニティは最新の攻撃情報に関する共有を依頼している。同社では過去に営業秘密を扱わないプロモーション用のウェブサイトが利用しているクラウドサービスがハードウェア障害で停止した際、事業への実害はないことから公表を見送ったところ、社外で「Y社がサイバー攻撃を受けてマヒしているのではないか」との噂となってその沈静化に苦労したことがあった。その影響もあって広報部門ではY社が十分な対策を実施していることに関する情報を積極的に発信したいと考えているが、CSIRTでは攻撃を助長するおそれのある情報の公表には慎重な方針をとっている。そのような中、2023年3月に経済産業省ほか関係省庁の共同による『サイバー攻撃被害に係る情報の共有・公表ガイダンス』(以下、「ガイダンス」)が公開されたこともあり、この機会に社内外との情報の共有及び公表に関するY社の方針を決めて、社外への説明及び社内関係者への周知に関する取組を進めることとなった。

  • 図2-10.1 サイバー攻撃被害に関する情報の取扱に関する関係者の意向の違いは以下のテキスト版をご確認ください。
    図2-10.1 サイバー攻撃被害に関する情報の取扱に関する関係者の意向の違い
図2-10.1 サイバー攻撃被害に関する情報の取扱に関する関係者の意向の違い(テキスト版)

広報部門は、自社のステークホルダーへの説明責任を果たすための情報発信は必要だがレピュテーション低下は避けたい。
知財部門は、社外への情報提供を通じて自社の営業秘密が流出する恐れはないか?
CSIRTは、攻撃を助長する恐れのある情報は社外には出したくない。
所管官庁等は、届出・報告義務は速やかに果たす必要あり。
サイバーセキュリティ関連機関等は、攻撃情報の共有は社会全体の対策推進に有益。

Y社の実践のステップ

Y社のCSIRTの責任者を兼ねる同社のCISOが実践したステップは下記3点である。

  1. ガイダンスを参考に「情報共有」「被害公表」「外部組織との連携」「機微な情報への配慮」を中心に情報の取扱に関する論点を整理
  2. 整理した結果について関係者の合意形成
  3. 合意形成の結果を、Y社のCSIRT運用規則に反映

Y社の実践内容

今回のきっかけとなった広報部門とCSIRTとの関係のほか、前ページの図に示す通り、サイバー攻撃被害に関する情報の適切な取扱には考慮すべき要因が多数あるとCISOは考えた。ガイダンスにはそれぞれの課題についての解説が示されているが、項目数が多いこともあって把握が容易ではないことから、CISOは次表のように同ガイダンスの内容等をもとに論点を整理し、それぞれの論点について関係者による意見交換を行い、ガイダンスの解説内容と対比して今後の情報の取扱について協議した。

表2-10.5 Y社における被害情報の取扱に関する論点整理例
論点 関係者意見等 ガイダンスの解説内容(関連FAQ番号)
情報共有 -自社の営業秘密が社外と共有される恐れはないか(知財)
-他CSIRTとの情報共有はGive&Takeの精神で推進したい(CSIRT
-情報共有の必要性(Q1
-被害情報の種類(Q4
-共有すべき情報(Q6
-共有のタイミング(Q8
-情報共有先の指定/制限(Q30
被害公表 -ステークホルダーへの説明責任を果たす必要があるが、タイミングが難しい(広報)
-攻撃を助長する情報の公表は避けたい(CSIRT
-公表の目的(Q14
-公表のタイミングと留意点(Q15, Q17
-公表の内容(Q16
-製品の脆弱性を含む情報の扱い(Q23)
外部組織との連携 -個人情報漏えい等の場合、報告義務は速やかに果たす必要がある(法務)
-営業秘密に関する不正競争防止法の適用には司法との連携が必要(知財)
-警察への通報・相談(Q18
-所管省庁への任意の報告(Q20
機敏な情報への配慮 -個人情報や機微な情報を含む情報の扱いを誤って二次被害を生じさせるのは避けたい(法務) -二次被害が出る恐れのある情報(Q25

協議の結果、関係者間で合意された内容をもとに、CISOと広報部門が弁護士と相談し、合意内容の扱いについて助言を受け、Y社で契約しているサイバー保険の内容についても一部見直しを行った。以上の内容についてY社の役員会において了解を受けた後、CISOがCSIRT運用規則に反映し、以後Y社におけるサイバー攻撃被害に関する情報はガイダンスの解説内容を参考に規定された同規則(適用範囲は全社)に従って取り扱われることとなった。この中で、状況に応じて判断の権限を有する責任者を定めた。この結果、インシデント又はその予兆の際に個別の判断の必要性が減り、適時の情報公表を通じて株主や投資家からも評価されるなどの効果が得られた。

参考情報

  1. サイバー攻撃被害に係る情報の共有・公表ガイダンス(総務省、経済産業省、NISC、警察庁)
    • サイバー攻撃被害に係る情報について、その性質に応じて適切に取り扱うことで、被害組織保護の強化と攻撃技術情報に関する情報共有活動の活性化の両立を目指し、取扱のポイントをFAQ形式で示す。
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開