EthicsfIRST 「インシデント対応およびセキュリティチームのための倫理規範」を読む

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」の日本語訳が公開されています。

ページ自体はこちらで、文書へのリンクは、これです。

内容をみながら、12の義務を図解してみました。

この倫理の作成に関与したわけではないので、もし、間違っていたのであれば、ご容赦のほどをという感じですが、全体の構造というのは、上のような感じかと思います。

原則

構成員、チーム、関係者に対してもっとも根本的な原則というのが、「信頼性(trustworthiness)」ということになるかと思います。

基盤

それらの構成員・チーム・関係者を支える土台が、健康に対する義務と能力に対する義務かと思います。

規範等の遵守

そして、具体的な構成員は、協調的な開示・機密保持・人権尊重・適用法令の遵守という外部からの規範等に対しての遵守が求められるわけです。

法域の境界を認識する(recognize jurisdictional boundaries)といっても、法域は、その地理的限界で、この法律・あの法律という形で適用されるわけではありません、ひとつの場所で複数の国の法が適用される場合もあります(日本にいても、GDPRに気をつけないといけないみたいなものです)。ですから、この部分は、個人的には「適用されるべき法律の認識の義務」としたほうがいいように思えたりしています。

情報取得・取扱の原則

構成員・チーム・関係者は、情報の伝達・交換に際して、アクノーレッジの義務があって、取得に対しては、その与えられている権限を遵守して、情報を取得する、それらの責任ある収集・発信によってチームの活動が裏付けられるという構造かと思います。

ちなみ「根拠ある推論」というのは、evidence-based reasoningなので、エビデンスに基づいて理由付けしましょう、ということですね。やっぱりニュアンスというのは大事だったりしますね。

自分も構造の図解をしていくなかで詳しく読むことができました。

 

関連記事

  1. EU報告書のIoTの定義
  2. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  3. 「責任共有モデル」という前に
  4. 米司法省、中国人ハッカーを起訴–新型コロナの研究など…
  5. セキュリティー会社員がファイル共有ソフト内にウイルス保管
  6. デジタルアイデンティティ周りの用語
  7. IPA「重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準な…
  8. 安全保障関連物資不正輸出事件の分析-ココム違反からキャッチオール…
PAGE TOP