セキュリティ対策において、他組織などとの情報交換は欠くことのできないものであり、そのための枠組みとしてすでに日本でもさまざまな官民連携やISAC(Information Sharing and Analysis Center:情報共有分析センター)などの取り組みが行なわれています。そのような中、ENISA(European Union Agency for Network and Information Security:欧州ネットワーク情報セキュリティ庁)は、EU域内において運営されているISACをはじめ、官や民の連携(以降、PPP:Public Private Partnerships)の取り組みについて調査分析し、課題や推奨事項などをまとめた2つの報告書「Information Sharing and Analysis Centres(ISACs)Cooperative models」と「Public Private Partnerships(PPP)Cooperative models」を公開しました。この調査研究については、昨年10月にオランダのハーグでENISAとNCSC(Dutch National Cyber Security Center:オランダ国家サイバーセキュリティセンター)の共催で行われた「5th ENISA National Cybersecurity Strategies workshop」において内容が検証されています。

 今回の報告書の結論とも言える推奨事項として、まずPPPについては以下の項目が挙げられています。

PPPの設置時には民間セクターに参加したいと思わせることを優先すべきである PPPの構築時に参加者は法的根拠に同意すべきである 公的機関はPPPまたはPPPに対する国のアクションプランをリードすべきである PPPは内部の民と民および官と官の協調に力を注ぐべきである PPPの参加者はPPPの構築のためにオープンなコミュニケーションと実際的なアプローチに注力すべきである 政府の代表は機密保持契約のある会議への参加を許可されるべきである 中小企業もPPPに参加すべきである

 ISACについては以下が提示されています。

ISAC参加者は適切なレベルでの情報共有を保証するために信頼関係を築くことに注力すべきである ISACのファシリテーター(まとめ役)はすべてのISAC参加者による関与を適切なレベルで保証すべきである ISACは民間セクターに参加動機を与える仕組みを持つべきである 情報共有の開始点としてはTLP(Traffic Light Protocol)がよい ISACは公的機関も関与させるような仕組みを持つべきである(ただし、バランスを取りながら) すべてのメンバーは付託条項と行動規範に同意すべきである すべてのISACは定期的に結果を出すべきである 強制的な情報共有が必要とされるような特定の状況は認められるべきである ISACは初めから資金調達メカニズムを確保しておくべきである ISACは分野を横断したISACの協力関係に注力すべきである 法執行機関はISACにおいて特定の役割を担えるかもしれない 定期的に評価が行なわれるべきである ISACはメンバーのニーズに基づいて新しいサービスを開発すべきである

 今回はこの2つの報告書のうち、EUにおけるISACの現状に関するものをいくつか抜粋して紹介します。

 ISACに関する調査はEU加盟国のうち17カ国を対象にインタビューなどを通じて行われました(PPPについては12カ国)。まずISAC設立の理由は以下のようになっています。当然ながら、理由は1つとは限らず、一般的には複数の組み合わせとなります。

規制上の要件

業界内(監督省庁も含む)での情報共有を義務付ける法律に基づいて作られた、または法律の実装を支援する諮問機関として作られたもので、例えば、European aviation ISACや、European Energy ISAC、ポーランドのBanking Cybersecurity Centreがあります。

経済的利益

民間セクターとして最も一般的なISAC設立の理由であり、脅威の状況を概観するのによいからというものですが、ほかにも、情報収拾のコストとしてISACを利用した方が安く済むからという理由もあります。例えば、前者としてはオランダのNCSCの支援を受けたさまざまなISAC、後者としてはルクセンブルグのCERT.LUがあります。

社会的関心

「経済的利益」の次に一般的な理由です。また、サイバーセキュリティに関して数多くの経験やノウハウを有している組織にとっては主たる理由となっており、セキュリティに対して十分なリソース(予算、人)が確保されていないような組織に対する支援を目的としています。また、公的機関の場合は国を守る責任に基づいています。これらの例としては、リトアニアの情報交換のためのフォーラムやポルトガルのPT CSIRT Networkがあります。

広報活動

金融やエネルギー業界のような重要インフラの事業者にとって、その企業が安全であり、インシデントが発生してもサービスを提供し続けられることを公に示すことが重要であるという考えに基づいたものです。これは公的機関にもあてはまり、業界との連携がうまくいっていることを広報することで、ISAC構築を支援する国家戦略や法整備などに繋げることができます。この例としてはルクセンブルグのCERT.LUがあります。

その他

すでに何らかの連携の枠組みがあり、それをインシデントに関する情報交換にも使うようにしたというもので、例としてはオランダのFI-ISAC.NLがあります。また、重要インフラの業界内で運営されている、セキュリティに関する共同研究プロジェクトがベースになっているものもあり、例えばEuropean Energy ISACがあります。

 ISACに参加する理由は民と官では異なります。

民間セクター

インシデントやサイバーセキュリティに関する知見の共有 「グループの一員であれ」「周囲からの圧力」 知見や経験へのアクセス 人的ネットワーク形成

公的機関

重要インフラ事業者におけるセキュリティレベルに関する知見 調整先窓口を一本化する機会 民間セクターのニーズに関する理解の向上

 ISACは大きく以下の3つのモデルに分類されます。

country-focused model

国全体を対象としたISACで、すべての専門家やCSIRTを1つに集めて情報共有することを目的としています。一般的に協力関係はごく非公式のものであり、ほとんどの場合、CSIRTのコミュニティやISACに参加している専門家によって管理されています。このようなISACとしては、スペインのICARO、ポルトガルのNational network of CSIRTs、リトアニアの情報交換フォーラム、ルクセンブルグのCERT.LUがあります。

sector-specific model

業界単位のISACで、さらに、業界主導と政府主導の大きく2つに分けられます。前者の例としては、ポーランドのBanking Cybersecurity CentreやノルウェーのHealthCERT、後者の例はフィンランドやベルギー、オランダにあります。

international collaboration model

国境を越え、欧州や世界をまたがったメンバーからなるISACで、例としては、European Financial Institutes ISACやEuropean Energy ISAC、欧州航空ISACがあります。

 ISACの活動資金についてまとめたのが以下の図です。

 会費制が全体の3分の1で最も多いですが、会費なしのボランティア活動というものも3割近くと多くを占めています。政府の助成金を使っているのは17%ですが、欧州では情報共有活動は民間セクターの役割であるとの認識が強いため、助成金はISACの活動資金全体をまかなうのではなく、業界の連携を推進するための費用に割り当てられることが多く、例えば、事務局運営費や会議の会場費などに使われているようです。また、国をまたがったISACや業界のISACの場合、設立時点では政府からの助成金を使っていても、成熟した後には別の方法(会費制もしくはボランティア)を採用することになっているそうです。なお、2割を超えている「その他」は、基本的に会費無料のボランティ活動ですが、会議の際の会場施設やケータリングの提供といったかたちで活動を支援してもらっているケースなどを指しています。

 ISACが抱えている課題としては以下が挙げられています。

(人的)リソースの不足 分析能力の弱さ(分析対応可能量の少なさ) 資金不足 ISACの活動の質的評価の困難さ 情報の重複 ISAC内の協調 省庁の担当者やセキュリティ企業の役割 データ保全のためのITツール

 これらの課題を受けて提示されたのが、冒頭で紹介した推奨事項になります。

 今回公開された報告書について贅沢を言えば、もう少しこなれた図や表を使うなどして分かりやすく整理してもらいたかったという部分が多々ありますが、それでも、日本ですでにISACの活動に関わっている方はもちろん、これからISACを立ち上げる、またはISACに参加する予定という方にも参考になる情報は間違いなくあるでしょう。関係者の皆さんには一読をお勧めします。