情報セキュリティの分野において、多くの専門家は、オンライン上の脅威や攻撃者に関する情報を、より幅広く共有できれば、全インターネットユーザーのセキュリティ強化につながると考えています。しかし現実には、最も大きなターゲットとされ、こうした情報を収集できるはずの民間企業と中央政府はしばしば相反する目的を抱えています。
米国インディアナ州のパデュー大学でコンピュータ科学の教鞭をとるEugene Spafford教授は、両者は自らが招いた問題に苦しんでいると述べ、次のように語っています。「政府は情報源や手口が漏れる可能性のある情報開示に消極的です。そのため、政府による企業を狙ったサイバー攻撃の監視は攻撃者の手口について情報収集するためしばしば数か月から数年続き、被害対象の企業に告知されたとしてもその後となります。」
「政府機関と民間機関で情報を共有する際の 普遍的な課題は、期待値を如何にコントロールするかです。」
ERIK DE JONG 氏
FoxCERT 認定サイバー犯罪専門家
「政府はまた、ただ単にどうすればうまく情報を管理できるかがわからずに、大量のデータを機密扱いしすぎてしまう傾向があります。企業の場合、多くは自社セキュリティへの不信感から脅威に関する情報が共有できずにいます。情報を必要以上に共有してしまうと、自社セキュリティが万全でないことが注目を集めてしまうかもしれず、企業はそれを恐れているのです。」
法整備にむけた動き
こうした問題の一部に対応するため、米議会議員たちは、サイバー セキュリティー法案(Cyber Intelligence Sharing and Protection Act[CISPA])という、企業がサイバー攻撃を受けた際、政府とそのサイバー攻撃についてデータの共有を簡素化する法案について討議しています。この法案には賛否両論あり、成立に向けての活動は、国家安全保障局の監視プログラムがどの程度かかわってくるかという点が、内部告発者により指摘され、頓挫しています。
Spafford氏は次のように述べています。「CISPAでは、大量のデータ収集が可能となり、かえって犯罪者やサイバースパイに、はるかに大きなターゲットを提示してしまうことになりかねません。また、プライバシー保護の重要な原則の1つは、調査範囲を限り、収集データに有効期限を設定することですが今回そのどちらの対策も取られていません。」
オランダに拠点を有するセキュリティサービス会社、FoxCERTでサイバー犯罪エキスパートを務めるErik de Jong氏は以下のように述べています。「政府機関と民間機関で情報を共有する際の普遍的な課題は、期待値を如何にコントロールするかです。オランダ政府は情報の共有を強調しながらも、実際には、民間機関とは限られたサイバー諜報活動データしか共有していません。」
de Jong氏はいいます。「私が思うに、民間企業の主な関心事は、政府組織からはっきり言及されていなかったり、考慮されていない場合がよくあります。両者が、それぞれ何が重要であるか互いに認識すれば、相互に何が期待できて何が期待できないか理解でき、より公平かつ効果的に協力を進められるようになるでしょう。」
共有の範囲
政府はむしろ、サーバーインテリジェンスプロバイダー、特に税金で賄われる公共事業を通してお金を儲けているプロバイダーに、被害にあった企業の攻撃データから重要な部分を抽出して、共有するよう求めるべきだとPaller氏は提案しています。
「少なくともアメリカ合衆国では、企業によるデータ漏えい対策に、多くのサイバー セキュリティー企業が雇われています。多くの場合、被害をうけた企業はサイバー セキュリティー企業を雇うことを法的に義務付けられ、政府は、そこからさらなるメタ・データを得ます」とPaller氏は述べています。
Paller氏は言います。「感染症のまん延を阻止するため、病院や医師からデータを取集する米国政府機関のアメリカ疾病予防管理センター(Centers for Disease Control[CDC])の試みは、サイバー セキュリティー協力体制の有効なモデルとなり得ます。その場合、サイバー事件を処理する企業認可の仕組みを考える必要があるかもしれません。セキュリティを破られた組織が、こうしたサイバー事件処理認定をうけた企業と共に事態の収拾にあたることが法的に義務付けられれば、個人データを開示することなく、政府の安全保障上の利害と照らし合わせ、情報を収集、見識を共有できるようになるでしょう。」 ◆