脅威情報共有のプラットフォーム(4)-MISPとISO/IEC 27010:2015

前のエントリでMISPとGDPRの関係をみてみました。MISPのページですと、他にも、ISO/IEC 27010:2015との関係やNIS指令との関係、ISAC等にける情報共有のガイドラインがあります。

ISO/IEC 27010:2015との関係

ISO/IEC 27010:2015は、ISO/IEC 27001:2013及びISO/IEC 27002:2013を補足し、情報共有コミュニティが使用するための「セクター間及び組織間通信のための情報セキュリティ管理」をカバーしています。

ISO/IEC 27010規格(以下、規格)は、組織間及びセクター間通信における情報セキュリティの開始、実施、維持及び改善に特に関連した管理及び指針を提供しているます。さらに、確立されたメッセージングやその他の技術的方法を用いて、どのようにして指定された要件を満たすことができるかについて、ガイドラインと一般原則を提供しています。したがって、情報共有について非常に参考になるということができます。

具体的な項目は、こちら。

次にMISPのプロジェクトのページでの、具体的なISO/IEC 27010規格との関係をみていきます。

情報共有コミュニティとMISPとの関係についての考察がなされています。具体的には、MISPは、データモデルのオブジェクトとして、「組織」や「ユーザ」を含んでいて、具体的な図で、イベントが組織をまたいで共有される様子が分析されています。また、企画とのマッチングについての分析がなされています。

また、MISPが、規格の実装をより容易にするのか、という観点からの分析がなされています。

MISPはツールであり、ソフトウェアの一部であり、それ自体が情報セキュリティ及びマネジメントシステムではない。そのため、ISO/IEC 27010:2015の新しい統制や強化された統制のすべてがMISPに適用できるわけではありません。本記事では、MISPに適用できる場合、部分的に適用できる場合、適用できない場合について、コントロールを分類し下表に示した。

として、具体的にMISPの仕様ごとに分析をなしています。

特に、注目されるべき分野として

  • 情報セキュリティポリシ
  • 資産管理
  • 暗号
  • 運営のセキュリティ
  • 情報移転
  • 情報セキュリティインシデント管理
  • コンプライアンス

があげられています。

ここで、コンプライアンスについてみてみます。

「コンプライアンス」も念頭に置くべきカテゴリーである。意図せず、または意図的に情報が開示された場合に対処するために、責任問題と是正措置は、情報共有コミュニティの全メンバーに よって明確にされ、理解され、承認されるべきである。この点で、基準は、少なくとも、不正な開示があった場合には、発信者に、また、潜在的には発信元に、開示された情報を特定するのに十分な詳細を伴って通知することを含むべきであると規定している。不正な開示の結果は、責任者に直接影響を与える可能性があり、コミュニティの信頼を回復するために、一定期間、特定のメンバーへのアクセスを排除または制限する必要があるかもしれません。

ヨーロッパに拠点を置き、EU市民の個人データを処理する情報共有プラットフォームとして、MISPはGDPRを遵守する必要があります。しかし、準拠はユーザーレベルで見る必要があり、GDPRとMISPの関係を分析した最近の記事で説明されているように、MISPではユーザーレベルで見る必要があります。それにもかかわらず、プラットフォームとしてのMISPには、設計上、デフォルトでプライバシーを促進するメカニズムが組み込まれており、ユーザーのGDPR遵守を支援していることは言及しておく価値があります。例えば、脆弱性を報告する際に含まれる必要があるデータに関しては、ユーザーはプラットフォームによってガイドされています。ユーザーは、特定のデータモデルに従ってイベント属性のみを記入することができます。これは、MISPがプラットフォーム上で公開されるデータを必要最小限に抑えることを意味します(「データ最小化」と呼ばれる戦略)。

となります。

 

関連記事

  1. CyCon 2019 travel memo day1 (2)
  2. NISC「ランサムウエアによるサイバー攻撃に関する注意喚起につい…
  3. 「相当な注意」に関する国家実行-米ロ首脳会談の議事内容とサイバー…
  4. GCSCスタビリティ報告書 分析9
  5. 電子署名法は、スマートコントラクトに耐えられるか。
  6. サイバー攻撃にも集団的自衛権 政府「武力行使しうる」
  7. サイバー攻撃に「おとり」・・ウイルスを誘導
  8. 米国の「連邦組織取引における電子署名の利用」(3)
PAGE TOP