不十分な情報が共有されてる？

最近、情報共有される情報がなんだかわからないものがあるなと感じていたりしませんか？その理由とは？

サイバーセキュリティの脅威が高まっており、その脅威に対抗するために「情報共有」が重要であるとあちこちで言われています。そこで情報共有の枠組みが整備され、少しずつ情報共有が進んできています。

あるところで講演をした際に以下のような質問がありました。

• 最近、なんか不十分な情報が共有されてきているのが気になる
• 具体的なインシデントの内容や被害事例が書いてあれば、もっと強力に進められるのになんで、IPアドレスとかURLとかだけしか共有されてこないんですかね

質問された方は共有された情報をもとに組織のセキュリティ対策を推進したい熱い気持ちがあふれており、このような質問になったようです。実はこのような質問をされることが今年は多くなった気がします。私自身が情報共有の枠組みの中にいることも多いので、以下のようにお答えしました。

• それは情報共有の枠組みが進んできたという証拠だと思ってください
• どこの組織も情報共有の重要性は認識しているが、自組織の情報が出ることには抵抗があります
• 「自組織の情報が出ないなら、攻撃者の情報を提供してもよい」という組織がほとんどだと思います
• その結果、情報共有の枠組みでは攻撃対象組織の情報やインシデントの内容をごっそり削ぎ落として、攻撃者に関する情報を流すようにしています
• インシデントの内容は対象組織を推測できることがあるので、伏せられていることが多くあります
• インシデントの情報が書ける場合には最初から書いてあるはずなので、書いていないということは書けない事情があるものだと思うしかないです
• あまりに多くの組織がインシデントの詳細を求めると情報共有が進まなくなる可能性がありますので、そういうものだと思って対策をしてください

このようにお答えしたことでご納得いただけたようです。ビジネス上の競合であるとか、株価や風評被害への対策という面があり、情報を出す側と受け取る側のバランスを取ることが必要になってきます。今後、情報共有に慣れ、有効性に気付いた組織が多くなってくると、提供される情報の量や質も変わってくるかもしれません。

読者の皆さんの組織でも「不十分な情報だな」と思うより、「どこかの組織が共有の枠組みに参画してくれたんだな」と思って共有された情報を活用していただければと思います。