政府も重要視する脅威情報の共有について
2015年12月に経済産業省及び独立行政法人 情報処理推進機構(IPA)により「サイバーセキュリティ経営ガイドライン Ver 1.0(ガイドライン)」が発表されました。
前編で紹介したガイドラインの「重要10項目」の1つとして「情報共有」が挙げられています。インシデントや社会全体への被害の広がりを可能な限り最小限に抑えるために、サイバー脅威情報の共有活動に積極的に参加し、貢献すべきと訴えています。この勧告は非常に重要です。攻撃者と被害者との間の勢力バランスを変え、攻撃者に対して優位に立つためには、サイバー脅威情報の共有をオペレーション化しなければなりません。
実績レベルは国によって千差万別ですが、効果的なサイバー脅威情報共有の枠組みの確立にはどの国もおしなべて苦労しており、ボットネットのC&Cサーバ、マルウェアの検体、マルウェアの解析結果、脅威の痕跡といった脅威とインシデントに関する情報をメンバー間で適時に交換できるよう模索しているところです。
実現が遅れている理由は数多くあり、例えば、技術的制約(大量の情報を適切に共有可能なシステムの数が少ないことや、情報共有の規格がそれぞれ別々であることなど)や法律上の懸念、信頼性の問題などが存在します。
日本における情報共有の現状はどうなっているのでしょうか。あらゆる国でサイバー脅威情報の共有のあり方に改善の余地があるとは言え、日本は実運用に関して、他の国々より遅れているように思えます。
プライスウォーターハウスクーパース(PwC)は2016年のグローバル情報セキュリティ調査の中で、世界中の企業と比べると、日本企業はサイバーセキュリティ脅威に関する情報共有に後ろ向きである旨を報告しています。PwCによると、情報共有をしている日本企業は30.4%にとどまる一方、世界では64.7%の企業が行っているとのことです。
日本企業が脅威情報を共有したがらない理由としてこの調査の中でトップに挙げられているのが、「情報共有の枠組みの整備、標準化ができていない」です。サイバー脅威情報の共有枠組みが自動化されるようになるまでは、実際に作業を行う優秀な人材が不可欠ですし、自動化には技術的な裏づけと強固なプライバシー保護が求められます。
