脅威インテリジェンスサービスの利用とコンプライアンス(1)

私の情報セキュリティ上の法律相談で一番難問の一つに「ダーク市場で、会社のデータが流通しているようだが、それに金員を支払って購入していいのか」というものがあります。
この問題について検討した書類が、米国の司法省のサイバーセキュリティユニットから公表されています。
タイトルは、「オンラインサイバー脅威インテリジェンスを収集し、不法な情報源からデータを購入する際の法的考慮事項(Legal Considerations when Gathering Online Cyber Threat intelligence and Purchasing Data from Illicit Sources)」です。
この書類は、一種のガイダンスということになるかと思います。なので、脅威インテリ等ガイダンスとでもいえるかもしれません。
このガイダンスは、1 序 2 シナリオの前提 3 サイバー脅威インテリジェンス収集 4サイバーセキュリティを目的とした盗難データと脆弱性の購入 5 結論 からなりたっています。
1 序においては、このガイダンスが、司法省のサイバーセキュリティユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織が提起した質問に応えて、この文書を作成したこと、その一方で、このガイダンスの事実関係については、小さな変更が法的変更をもたらすことがあるために、責任ある弁護士(リーガルカウンセル)と相談の上、このガイダンスを利用することが推奨されることが触れられています。
2 シナリオの前提においては、このガイダンスが、情報(つまり、サイバー脅威インテリジェンス、盗難データ、セキュリティ脆弱性、マルウェア)を取得する情報セキュリティ実務者対象としていること、ダークネットにおけるフォーラムにおいて上記の情報が取得されること、このフォーラムへのアクセス手法も問題とされることがありうることなどが議論されています。
次のエントリでは、3 以下について検討することにします。
 
 

関連記事

  1. ウイルス罪、有罪と無罪の境界はどこにあるのか (上)
  2. 7月2日の「規制改革推進に関する答申」と電子署名
  3. サービスとしてのランサムウエア-「サイバー攻撃、実行容易に」の記…
  4. 「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む…
  5. パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべき…
  6. 「住民票LINE交付巡り、技術提供会社が国を提訴」の記事
  7. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  8. “ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声
PAGE TOP