「国や多くの組織を守るほどにスケールしない」

情報共有はサイバーセキュリティの問題を解決しない。なぜならば、それは国や多くの組織を守るほどにスケールしないからである。

センシティブな情報の共有は、情報源を危険に晒し、信頼すべきインテリジェンスを疲弊させる。そして、（情報共有の前提である）信頼は移転しない。友達を信頼しても「その友達の友達」を信頼できるかは別である。

これらは、CyCON US 2018でのDmitri Alperovitch氏によるキーノート、Top 10 Myths of Cybersecurityでのセリフです。

情報共有の仕組み作り活動が注目されているようです。

ITU GCIのGlobal ranking GCI 2018で世界14位（2017年11位）、アジア圏4位の某国でも、サイバーセキュリティ基本法（2014年成立）の14条に以下のように該当箇所があります。

国は、重要社会基盤事業者等におけるサイバーセキュリティに関し、基準の策定、演習及び訓練、情報の共有その他の自主的な取組の促進その他の必要な施策を講ずるものとする。

（注意：太字化は著者によるもの）

さらに、2019年の改定では、「サイバーセキュリティ基本法の一部を改正する法律案」の趣旨として、「サイバーセキュリティ協議会の創設」が謳われ、相互に連携して情報共有を図ること、と明記されました[1]。

情報共有はうまくいけばメリットは大きく、以下のように有益な情報や支援を得られるとされています[2]：

・ 自社では得られない有用な情報の入手

・ 業界に特化した攻撃情報の入手

・ 報道等では公開されない攻撃情報の入手

・ 他組織で実施した防御手法に関する情報の入手

・ 政府や警察機関等からの支援

サイバーセキュリティの脅威が高まる中、情報共有の推進が望まれています。

たとえば、2018年に発生した一連の事件では、複数の大学から大量の個人情報が流出したとされています。（本学においては2回もご迷惑をお掛けしており、改めてお詫び申し上げます。）

このように特定業界狙いの攻撃キャンペーンはあるようですので、業界内での情報共有というのは一定の効果があると言えるのかもしれません。

このことに早くから気がついていた、金融、通信などの業界においては、情報共有分析センター（Information Sharing and Analysis Center：ISAC）が設立され、その活動があることが知られています。クローズド場で、同じ業界人同士で情報交換をすることの意義はありそうです。

サイバーセキュリティの先進国である米国では、さらなる推進のため、2015年にサイバーセキュリティー情報共有法 （Cybersecurity Information Sharing Act (CISA)）を策定し、（情報共有による自社の機微情報が漏れることを懸念する声への対策として）サイバー脅威を他の団体や政府と自発的に情報共有した企業の保護を図りました。

また、国土安全保障省（DHS）は、サイバー脅威情報を迅速に共有できる仕組みAutomated Indicator Sharing（AIS）を2016年3月に構築し、情報共有を推進してきました。

しかし、それらの努力にも関わらず、以下のような指摘がされているようです[3]。

しかしながら、依然としてプライバシー保護や賠償責任への懸念からAISから情報を受信するだけの企業や、そもそも情報を受信するために必要なサーバー構築技術を有していない企業が多いようだ。

（技術コミュニティ周りで3〜4年前くらいから突如聞くようになってきた）国際標準規格STIX・TAXIIを用いて、サイバー関連の脅威情報などを、人間の介在を最小限にした自動化により他の組織と共通する仕組みも提唱されていますが、最近までに、芳しい報告は聞いたことがありません。（あるならば、ぜひこっそり教えてください）

個人的に最近一押しの『世界の覇権が一気に変わる サイバー完全兵器』（デービッド・サンガー）にも、以下のような一節がありました。
これは、オリンピックゲームズ作戦に対する「本土への報復の情報」を共有した際のエピソードです。

いま振り返れば、伝えられた極秘情報を生かせた企業はわずかだった。政府から説明を受けたある企業のトップは「自分が聞いたことを、会社のＩＴ部門管理職に伝えることは許されなかった。そのため、この情報を元にできることは文字どおり何もなかった。一晩中、おびえているくらいがせいぜいだ」と語っている。

貴重な情報でも受け手にそれだけの対処能力がなければ、消化不良を起こすだけということなのでしょう。（このとき、実際に大規模な攻撃とその被害があった。）

情報共有というのはアイディアとしては非常にシンプルで、皆さんの直感にハマるのですが、「国や多くの組織を守るほどにスケールしない」という可能性はありますかね。

教科書的な技術を一通り知ると分かった気持ちになるサイバーセキュリティの世界も、実効性のあることを継続的に実施するのは言うほど簡単ではないというところではないでしょうか。しばらくは試行錯誤が続きそうです。

2019/08/01

[1] https://www.kantei.go.jp/jp/singi/it2/cio/dai76/siryou6.pdf

[2] https://www.j-cic.com/pdf/report/CybersecurityInformationSharingSurvey-20180309(JP).pdf

[3] https://www.jetro.go.jp/biz/areareports/2017/11341c9295e3fa4e.html