サイバー攻撃被害、企業組織間での情報共有に関するガイドライン公表【経済産業省】

経済産業省は、昨今のサイバー攻撃の高度化と被害情報共有を重要視し「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催、その最終報告書内容を公表した。
情報共有の重要性と現状の課題に基づき、サイバー攻撃の被害企業の同意を得ずに速やかな情報共有が可能な「攻撃技術情報」に焦点を当て、専門組織間での円滑な情報共有を提言している。
被害組織からの情報共有と公表によるメリットとデメリットはそれぞれ以下の通り挙げられている。

<メリット>
•ステークホルダーへの説明責任を果たせる
•被害組織が情報を公表することで、広報対応等の負荷が軽減
•初動対応法や攻撃被害への未然防止につながる情報提供になる
<デメリット>
•被害組織が特定されてしまう恐れがあり、情報の隠蔽を疑われる場合がある。
•データの共有をするためのコストが発生する可能性がある。

また、被害組織の特定により発生し得る法的責任は原則として負わないとするユーザーへの事前合意を目的とした秘密保持契約が盛り込まれた条文案も別途作成されている。

今後の課題として情報共有においては専門組織間の連携だけでなく、官民連携も重要とされている。
具体的には、「行政機関への相談や報告のあり方の検討」、「政府と民間事業者の情報共有促進の仕組みづくり」、「サプライチェーンとユーザー、ベンダーそれぞれの責任範囲を明確化」などの検討が必要とされている。

【参考記事】
産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました
https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html