EthicsfIRST 「インシデント対応およびセキュリティチームのための倫理規範」を読む

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」の日本語訳が公開されています。

ページ自体はこちらで、文書へのリンクは、これです。

内容をみながら、12の義務を図解してみました。

この倫理の作成に関与したわけではないので、もし、間違っていたのであれば、ご容赦のほどをという感じですが、全体の構造というのは、上のような感じかと思います。

原則

構成員、チーム、関係者に対してもっとも根本的な原則というのが、「信頼性(trustworthiness)」ということになるかと思います。

基盤

それらの構成員・チーム・関係者を支える土台が、健康に対する義務と能力に対する義務かと思います。

規範等の遵守

そして、具体的な構成員は、協調的な開示・機密保持・人権尊重・適用法令の遵守という外部からの規範等に対しての遵守が求められるわけです。

法域の境界を認識する(recognize jurisdictional boundaries)といっても、法域は、その地理的限界で、この法律・あの法律という形で適用されるわけではありません、ひとつの場所で複数の国の法が適用される場合もあります(日本にいても、GDPRに気をつけないといけないみたいなものです)。ですから、この部分は、個人的には「適用されるべき法律の認識の義務」としたほうがいいように思えたりしています。

情報取得・取扱の原則

構成員・チーム・関係者は、情報の伝達・交換に際して、アクノーレッジの義務があって、取得に対しては、その与えられている権限を遵守して、情報を取得する、それらの責任ある収集・発信によってチームの活動が裏付けられるという構造かと思います。

ちなみ「根拠ある推論」というのは、evidence-based reasoningなので、エビデンスに基づいて理由付けしましょう、ということですね。やっぱりニュアンスというのは大事だったりしますね。

自分も構造の図解をしていくなかで詳しく読むことができました。

 

関連記事

  1. 「個人データの取引」が「公正かつ自由」であること-G7 データ保…
  2. サイバー規範に関する国連GGEの失敗
  3. 2018年米国サイバー戦略をどう見るのか
  4. 誤導報道-サイバー弱点通報窓口、日本整備遅れ LINEなど一部の…
  5. サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対…
  6. 大規模な国際的サイバー攻撃に対する欧州の緊急対応プログラム
  7. サイバースペースにおける責任ある国家行為を推進する共同声明
  8. 脅威情報共有のプラットフォーム(4)-MISPとISO/IEC …
PAGE TOP