脅威情報共有のプラットフォーム(5)-MISPとNIS指令

ホーム
情報セキュリティ, 情報共有
脅威情報共有のプラットフォーム(5)-MISPとNIS指令

脅威情報共有のプラットフォーム(5)-MISPとNIS指令

MISPとISO/IEC27010の関係をみてきましたが、さらに、EUのNIS指令との関係を見ていきます。

ネットワークと情報システムのセキュリティに関する指令（ＮＩＳ指令ーNetwork and Information Security：NIS）指令は、2016 年 7 月、欧州議会において最終的に採択が行われ、2016 年 8月に施行後、加盟国は 21 か月以内に国内法を整備することとされました。指令の概要は以下のとおりです。

加盟各国には NIS 戦略の採択を義務付け、NIS 関連のリスクやインシデントに対応する機関を設立する。
NIS 関連のリスクとインシデントに関する情報共有及び協力を促進するため、加盟各国と委員会等で構成されるグループを設立する。
基幹インフラ事業者（OES-金融、運輸、電力、保険・衛生）、デジタル・サービス提供者（DSP-オンライン市場、クラウド・コンピューティング、検索エンジン）には、適切なセキュリティ対策を講じるとともに、重大インシデントに関する報告を義務付ける。

なお、日本語の資料として島村智子「ネットワーク・情報システムの安全に関する指令（NIS 指令）―EU のサイバーセキュリティ対策立法―」

ここで、加盟国間の信頼と信頼の発展に貢献し、迅速かつ効果的な業務協力を促進するために、コンピュータセキュリティインシデント対応チームネットワーク（「CSIRTネットワーク」）を創設することが要求されていることから、そのための情報共有のためのプラットフォームであるMISPとこの指令との関係について検討されるべきとなります。

NIS指令の12条は、CSIRTの情報交換等を定めています。

（b）は、

(b) インシデントの影響を受ける可能性のある加盟国の CSIRT の代表者の要請に応じて、事件とそれに関連するリスクに関連する非商業的に機密性の高い情報を交換し、議論すること。

と定めています。

MISPの分析は、このページです。

MISPのフォーラム、コメント機能、報告者へのコンタクト機能は、これらに役立つとこれています。

同条(c)は、

個々のインシデントに関する非機密情報を自主的に交換し、利用できるようにすること。

としています。MISPは、組織のみ、コミュニティのみ、接続コミュニティ、すべてのコミュニティ、共有グループという設定を有していて、ここのインシデントごとに設定できるようになっています。

また、機密情報と非機密情報を区別することもできます。また、NATOのトップシークレットのタグでフイルタリングすることも可能です。

同条(e)は、

加盟国が自主的な相互援助に基づいて国境を越えたインシデントに対処するための支援を提供する

としています。国境をまたぐインシデントに対応することには、MISPは、観測変数・マルウエアの分析、リアルタイムでの情報共有で貢献できるとしています。

同条(f)は、

(i) リスクとインシデントのカテゴリー、(ii)早期警報、(iii)相互援助、(iv)加盟国が国境を越えたリスクとインシデントに対応する際の調整のための原則と様式に関連したものを含み、さらなる形態の活動協力について議論し、模索し、特定する。

としています。

MISPは、単なるツールを越えて、脅威インテリジェンスとイベント/インシデントに関するセキュリティの標準になっています。その分類とギャラクシーは、リスクとインシデントの分類を可能にしています。また、早期警戒により防止措置を可能にしています。

この部分についてのSIEMなどとのインテグレーションについての資料は、こちらです。

また、ここて早期警戒という用語を使っていますが、この点については、別軒定義を提供するものとして、EUのこちらの資料があります。MISPは、データ共有を行うので、特にギャラクシー機能機能で、イベントが、APTグループにリンクされるので、EUのいう早期警戒に貢献するものとなるとしています。

MISPは、これ以外にも相互援助、協調のための原則および様式に貢献しうるとされています。

また、MISPとNIS指令との関係では、改善NIS指令の付属書ⅠにCSIRTのネットワークタスクがあがっています。

(a) CSIRT の任務には、少なくとも次に掲げる事項を含めなければならない。

(ⅰ) 国家レベルにおけるインシデントの監視

(ⅱ) リスク及びインシデントに関する、利害関係者への早期警戒情報、警告、情報の公表及び普及

(ⅲ) インシデントへの対応

(ⅳ) リスク及びインシデントの動態分析並びに状況認識の提供

(ⅴ) CSIRT ネットワークへの参加

(b) CSIRT は、民間部門と協力的関係を確立しなければならない。
(c) CSIRT は、協力促進のため、次に掲げる事項に関する共通の又は標準化された方法の採用及び利用を促進しなければならない。
(ⅰ) インシデント及びリスク対応手続
(ⅱ) インシデント、リスク及び情報の分類体系

(翻訳は、上記島村論文から)

これらのここの事項に、MISPがどのように貢献しうかるのかというのが分析されています。

基幹インフラ事業者（OES）やデジタル・サービス提供者（DSP)の支援という観点からもMISPは、は、それらのセキュリティを拡張することができるとしています。

具体的には、インシデント通知の要件を分析し、実際に通知するのにやくだつことが述べられています。