MISP(マルウエア情報共有プラットフォーム)を概観しました。が、そのエントリでも触れたのですが、「法と政策のコンプライアンス」のページがあります。
そこでは、GDPRとの関係、ISO/IEC 27010:2015 (セクター間・組織間の情報伝達のための情報セキュリティマネジメント)、NIS指令における重要な活動の実行の可能化、ISACやISAOのような情報共有コミュニティでのセットアップのガイドラインがあげられています。
以下、分析していくことしましょう。
GDPRとの関係は、このページです。CEFのファンドを受けているページなので、それなりに一般的な見解であると考えられるでしょう。
タイトルは、「GDPRによって可能となる情報共有と協調」です。
序においては、GDPRが、個人データの取扱についての法的不確実性を除去することを目標としていること、取扱者と管理者との区別をつけていること、共有のための条件が定められていることなどが述べられています。
また、CSIRTとして、CIRCLは、国家、欧州、国際レベルにおける情報共有の自動化のコメニュティを創設し、運営をなしていることが述べられています。
MISPを通じて情報を共有するときに管理者と取扱者は、だれか
この点については、この論文の図をもとに説明することになります。
これは、情報共有においては、その取扱の段階に応じて、ダイナミックにそれぞれ管理者と取扱者が変化することを示しています。受信の場合は、それ自体では、管理者になりませんが、それを保存して、データを分析すると、データ管理者となるわけです。
MISPを通じたどのような情報交換が個人データか?
ここでは、特に、データ主体が識別されうる場合に、IPアドレスが個人データと認識されうる(欧州裁判所、Scarlet Extended case)こと、さらに、識別しえないことが確実であるとならない限りにおいて、管理者は、すべてのIPアドレスは、個人情報であるとすべき(29条委員会、1/2008意見-サーチエンジンに関するデータ保護の意見)こと、ダイナミックIPアドレスも、個人データたりうること(欧州裁判所、Patrick Breyer case)が説明されています。
その結果
CSIRTは、自身の義務、関係者の義務、データ処理の目的を可能な限り把握しておく必要があります。
とされています。そのための安全策としては、仮名化があけれらています。仮名化については、GDPRの定義(追加の情報が分離して保管され、識別された又は識別され得る自然人に個人データが帰属しないことを保証する技術的及び組織的措置をとることによって、当該追加の情報を利用せずに個人データがもはや特定のデータ主体に帰属しないような方法で、個人データを処理することをいう)が紹介されています。一般には、ISPからの追加情報なしでは、データ主体を識別できないとされています。 もっとも、MISPの 「アトリビュート」(具体的な情報については、前のエントリ参照)は、特定人にリンクをさせるので、取り合いかつについては、取扱の行為の適法な目的に適合するように慎重に取り扱われることが必要になります。
GDPRは、MISPを通じて情報共有を許容しているのか?
この点についての記述は、興味深いのでそのまま訳します。
—–
GDPRによってCSIRT間での情報共有の可能性が低下するというのは、よくある誤解です。GDPR は、その目的に合致している限り、CSIRT 間での個人データの情報交換を可能にしています。GDPR の前文 49 では、CSIRT が情報を共有することが推奨されているのは、1) 保存または送信された個人データの機密性、完全性、可用性、関連システムのセキュリティを確保するなど、「ネットワークおよび情報セキュリティを確保する目的で必要かつ適切な範囲で」処理が行われ、2) 電子通信ネットワークへの不正アクセスや悪意のあるコードの配布、「サービス拒否」攻撃を防ぐなど、データ管理者の正当な利益を構成する場合に限られます。さらに、32項では、管理者及び処理者は、「リスクに応じた適切なレベルのセキュリティを確保するために、適切な技術的及び組織的な対策を実施しなければならない」としています。情報の共有化は、リスクを低減するために必要不可欠なセキュリティ対策であると認識されなければなりません。
サイバーセキュリティに取り組むすべての事業体や企業が、CSIRTとセキュリティサービスや技術を提供する民間企業との区別なく個人データを処理することが許されていると疑問を持つことは可能です。基本的に、IT インシデントやサイバー攻撃の検知や支援に直接または間接的に関与するすべての人が、大規模な個人データを合法的に処理することは可能です。
第一に、規制における前文の法的価値を評価する必要があります。前文は、規制の適切な条文のように直接強制力を持つものではありませんが、規制の条文の解釈を助けるものです。前文は、規則の条文と合わせて、必要性や比例性の原則など、すべての規則が尊重されていれば、CSIRTS やその他のサイバーセキュリティに関わる主体が個人データを処理できることを意味しています。
第二に、前文は、個人データの処理は、「ネットワークと情報セキュリティを確保する目的のために、厳密に 必要かつ比例した範囲内で」許されることを指摘しています。データ管理者は、本当に必要な場合にのみ、また、その構成員に対する活動の目的に応じてのみ、個人データを処理することができます。したがって、CSIRTは、業務を遂行するために必要な個人データを処理する正当な根拠を持っていますが、サイバーセキュリティソフトウェアベンダーのような他の民間の行為者は、個人データを処理する自由度がはるかに低くなります。前文49項の最終的な目的は、サイバーセキュリティに関わるすべての行為者に個人データを処理する一般的な可能性を付与することではなく、ネットワークや情報セキュリティが可能な限り高いレベルで達成されることを保証することである。
CSIRT による前文 49 の正しい適用を検証する作業は、主として、裁判所が、 CSIRT が収集し交換した証拠の価値を評価する際に、裁判所に委ねられます。データ保護当局(DPA)もまた、調査の枠組みなどでこの問題に直面することがあります。しかし、前文 49 はガイドラインであり、規定を規定するものではなく、法的解釈のツールである。
処理活動は、第 5 条の 6 つの原則を遵守しなければならない。5 の 6 つの原則を遵守しなければならない。「合法性、公正性、透明性」、「目的の制限」、「データの最小化」、「正確性」、「保存の制限」、「インテグリティと機密性」である。まず、処理活動が適法であることを確認することから始まります。
CSIRT がデータ管理者としての役割を果たす処理活動については、取扱の適法性の根拠として第 6 条(e)項-公共の利益のために行われる業務の遂行、または管理者に与えられた公的権限の行使のために処理が必要な場合-に基づくことが考えられます。情報共有コミュニティ内のエンティティは、第 6 条に記載されているように、異なる適法な根拠を持つ場合がある。. しかし、共有が適法である場合には、いつでも、これらの違いを理由にして、共有が阻害されることはあってはならず、共有を強化するための適法な根拠を明確に示すべきである。
MISP を通じて情報を共有する場合、ほとんどの場合、データ対象者から個人情報を取得していない。例えば、新しいマルウェアに関する情報(例:マルウェアが指示を受けているドメイン名)を共有する場合、そのような情報はマルウェアの作者から取得したものではありません。むしろ、それはその分析の結果である。この場合、 14条は、透明性の原則の適用の引き金を引くことになる。本条は、管理者の身元や連絡先などの特定の情報がデータ主体に提供されることを要求している。しかし、このような情報を脅威となる行為者に提供することは、調査を台無しにする(jeopardise)ことになり、公共の利益にはならないと主張することができます。GDPRでは、このような利用事例を想定し、第14条(1)から(4)までに対しての例外を規定しています。具体的には、MISP の利用の場合には、第 14 条(5)(b)が適用される。14(5)(b)が最も関連性が高い。この規定は、14 条(1)から(4)は,「本条第 1 項の義務が,その処理の目的の達成を不可能にし,又は著しく損なうおそれがある」場合には適用されないとしている。しかし、この制限は、「情報の公開」などの「適切な措置」とのバランスをとる必要がある。例えば、CSIRT は、RFC2350 や GDPR の 14(1)と(2)の規定に沿って、処理活動に関する情報を公開することができます。
ほとんどの場合、MISP に入力されたデータは攻撃に直接関連しており、インシデントの間に分析された大量のデータの中から、攻撃の検出や軽減に役立つものがすでに特別に選択されています。このような場合、MISPの使用は、データ最小化の原則と目的制限の原則を満たします。また、MISPは、脅威の検出および/または緩和のためのIOC(攻撃インディケータ)の有用性を評価するための機能を含みます。例えば、”アトリビュート “データモデルの “IDS “フィールドは、自ネットワークの侵入検知システムに直接属性をエクスポートすることを可能にします。”IDS”とマークされた属性は、脅威の検出および/または緩和のために必要なものであることは容易に理解でき ます。他のフィールドには、特定の属性の関連性について他の組織が反応することができる「目撃情報」や、どのイベントに同じ属性が含まれているかを示す「関連イベント」などを記載することができます(属性が複数のイベントに含まれている場合は、ほとんどの場合、誤検知ではなく、関連する脅威を軽減するために関連している可能性が高い)。
ちなみにRFC2350(コンピュータセキュリティインシデント対応への期待(Expectations for Computer Security Incident Response))の日本語訳についてはこちら。
また、論文では、データの保持期間や正確性の原則との関係が論じられています。
情報共有のための情報の取扱の根拠
被害者もしくは脅威の標的である場合、彼らが、データ主体として、同意をなした場合、もしくは、契約によってデータを取り扱う場合には、CSIRTにとっては、それらが取扱の根拠となります。また、法的な根拠が有る場合には、事前の同意がなくても取り扱うことができることなります。
また、CSIRT は、公共の利益(公共性や国家安全保障など)を保護するために、特定の任務や公的機関からの委任に基づいて行動している場合や、犯罪捜査の枠組みの中で個人データを処理することができます。しかし、GDPRはこのような場合には適用されません。
さらに、前文 49 は、CSIRT が正当な利益を有し、そのような利益がデータ対象者の基本的な権利と自由によって上書きされないとして、個人データを処理する CSIRT の権利について明示的に言及しています。事件や脅威に関連する情報を収集して処理することは、ほとんどの CSIRT の任務の目的と範囲に合致しているため、CSIRT の適法な利益となります。実際、情報を共有することで、CSIRT は、例えば、感染したマシンや感染した被害者を特定したり、悪意のある IP をブロックしたりすることで、攻撃をより効果的に防止し、軽減することが可能になります。(もっとも、目的制限の原則に照らすと、CSIRT は、犯罪捜査中に得られたデータを捜査に関係のない他の目的に使用したり、個人データを処理する目的に必要な期間を超えてデータを保持したりすることについては、合法的な根拠を有していません。)
ということになります。
これ以外の論文については、次のエントリで。